サプライチェーンは脆弱性の連鎖か?! ~大阪商工会議所による、そのサイバー攻撃調査結果から~

サプライチェーン攻撃

全国の中堅・大企業を対象にしたアンケートで、4社に1社が取引先の中小企業が受けたサイバー攻撃の影響があったことが10日、大阪商工会議所の調査で分かった。情報漏洩(ろうえい)やシステムダウンなど深刻な被害に至った例もあった。中小企業への攻撃を糸口にして取引先の大企業などの情報を奪い取ることも懸念され、大商は対策が急務としている。

出典:4社に1社が取引先のサイバー攻撃「被害及んだ」【産経WEST】

上記の引用だけでなく、他の新聞紙上やテレビニュースにおいて、サプライチェーン上でのサイバー攻撃が深刻である調査結果が取り上げられました。その調査結果とは大阪商工会議所が、サプライチェーン上にある従業員100名以上の大企業、中堅企業118社における、質問回答文書及びヒアリングによるものです。その詳しい内容はここにあります。 大阪商工会議所が、そのプレスリリース時に強調した概要としては

  1. 4社に1社がサプライチェーン上の取引先のサイバー攻撃被害が自社に及んだ経験がある
  2. 約7割の企業がサプライチェーン上の取引先のサイバー攻撃に対する取り組み、被害について把握していない
  3. 約6割の企業がサプライチェーン上の中小企業自身が対策を担うべきと回答

ということです。サプライチェーンにつながる中小企業へのサイバー攻撃が、その上位の大手企業、さらに鉄道、道路、電力、通信等のインフラ関係企業に影響を及ぼし、特に中小企業を踏み台に、本来、サイバー攻撃対策が十分に行われているにもかかわらず、不正アクセスが成功する可能性が危惧され、注意喚起がなされていました。この危惧が現実のものとなったのです。4社に1社という少なくない企業が、自社のサプライチェーンにある中小企業のサイバー攻撃対策不備によって危険に晒されていたのです。改めてサプライチェーン上の中小企業におけるセキュリティ対策の重要性が示され、看過できない現状が露呈される結果となりました。また、このような現状にも関わらず、自社のサプライチェーン上の中小企業のサイバー攻撃対策の現状をほとんど把握していないという状況も明らかになりました。言わば、この危機的な状態の一因が、必ずしも中小企業のサイバー攻撃対策の不備ではなく、その状態を把握し、管理すべき大企業の責任でもあるのです。大企業が積極的に中小企業のサイバー攻撃対策に関与する必要性も露わになったのです。

大阪商工会議所がその調査からの分析結果として指摘する以外に、調査における各項目の回答を注意深く吟味すると以下の点が読み取れます。

  • サイバー攻撃対策について、6割以上の会社が取引先に求めることは「注意喚起」程度: サプライチェーン上の中小企業の脆弱性を狙って、不正アクセスを成功させ、その中小企業を踏み台に攻撃するサプライチェーン攻撃の深刻さがこの数年、大きく取り上げられ、今回の調査結果でも被害に結びつくことが明らかにされたにも関わらず、取引先のサイバー攻撃対策に関心を示さないことは大きな問題でしょう。被害が及んだ場合でも、5割以上の企業が「注意喚起」程度の対策しか取らないことを考慮すると、関心を示さない理由としてはサイバー攻撃、及びその被害について、その深刻さを理解していないことが推し量られます。
  • 大企業においてもサイバー攻撃の被害とその深刻さについて理解がない: 「取引先がサイバー攻撃被害を受け、それが自社に及んだ経験がある」と回答した企業は30社でした。その30社において、被害ではないが、おそらく中小企業から自社のメールアドレス等が漏洩し、マルウェア感染や詐欺等を目的としたスパムメールが届いたという件数が半数以上であるものの、不正アクセスが9社、導入した製品自体にマルウェアが混入していたという企業が6社もありました。しかしながら30社中、被害と認識した企業は6社に過ぎず、「情報漏洩、システムダウン、あるいはデータの損壊」に及んだ企業は8社であることと大きく矛盾します。明らかに被害を受けたにも関わらず、少なくとも2社はその被害を認識していないのです。それ以外にも「不正アクセス、ウイルス混入、ランサムウェア感染」のいずれかに陥った企業も少なくとも9社あり、やはり被害と認識している企業数6社よりも多くなっています。これは明らかにサイバー攻撃の被害というもの自体を認識していない、あるいは非常に被害内容を軽んじていることに他なりません。

大企業がまだまだサプライチェーン上での取引先のサイバー攻撃の深刻さに対して無関心であることを表す調査結果としては、「取引先のWindows7/Windows Server2008サポート終了への対応に関して把握しているか」との問いに、6割以上の会社が把握していないと回答し、対応済を把握していると回答したのは、たったの5社に過ぎなかったことが象徴的です。