セキュリティ最新ニュース SECURITY NEWS

  • このエントリーをはてなブックマークに追加

Security

4社に1社が取引先のサイバー攻撃の影響「中小企業自身が自衛すべき」

大阪商工会議所が、サプライチェーンにおける取引先のサイバーセキュリティ対策等について集計結果を発表しました。

4社に1社が「取引先のサイバー被害が自社にも及んだ」

調査は2019年2~3月、全国の中堅・大企業を対象に実施されたものです。全118社のうち、25%にあたる30社が「取引先がサイバー攻撃を受け、その影響が自社に及んだ」と回答しました。

大阪商工会議所 報道発表資料より

具体的には、標的型攻撃メール、フィッシングメール、不正アクセス等の被害が上位を占めました。ほかにも、導入したシステムや製品にウイルスなどが混入した、不正暗号化・身代金要求があったという報告もありました。中には、情報漏洩やシステムダウン、データの損壊などの深刻な被害に至った事例も確認されています。

このように、サプライチェーン内の防御が手薄な組織を突破口とし、大企業への侵入を試みる「サプライチェーン攻撃」が近年問題となっています。以前の記事では、この手口が独立行政法人 情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威 2019」の4位にランクインしたこともお伝えしました。

半数近くが損害賠償の意向

では、中堅・大企業は取引先にどのようなセキュリティ対策を求めているのでしょうか。
調査結果では、「口頭や文書での注意喚起」(42%)、「契約締結の依頼/要件化」(34%)といった対策が上位を占めています。
「セキュリティソフト・ハード導入の依頼/要件化」(15%)、「認証(ISMS等)取得の依頼/要件化」(13%)や、「損保付保の依頼/要件化」(4%)といった具体的なセキュリティ対策を求める意向は、それぞれ少数に留まりました。

大阪商工会議所 報道発表資料より

しかしながら、取引先がサイバー攻撃被害を受け、その被害が自社にも及んだ場合は、厳しい処置を採る意向も示されました。
51%が「口頭や文書での注意喚起」といった最低限の対処に留まってはいるものの、後には「損害賠償請求」(47%)、「セキュリティソフト・ハード導入の依頼/要件化」(37%)、「取引停止」(29%)といった制裁措置を取る意見が続きました。

大阪商工会議所 報道発表資料より

取引先のセキュリティ対策については、対策が万全かどうかを把握しきれていない企業が多いのが現状です。とはいえ、自社のセキュリティ対策の不十分さが原因で取引先の企業に損害を与えてしまった場合、信用失墜のみならず、損害賠償請求や取引停止等の具体的な措置を覚悟しなければなりません。
実際、JNSA(日本ネットワークセキュリティ協会)の調査によると、2017年に情報漏洩によって発生した想定損害賠償の総額は1,914億円2,742万円でした。事故1件当たりの平均損害賠償額は5億4,850万円。つまり1社が平均5億円以上を支払ったことになります。

サイバー攻撃の「踏み台」にならないために

今回の調査では「中小企業自身が自衛すべき」と考えている企業が全体の約6割を占めました。セキュリティ環境を整備することは、自社のセキュリティリスクを減らすだけでなく、企業としての信頼を高めることに直結するといっても過言ではありません。

とはいえ、社内に専任のセキュリティ担当者がいない中小企業やスタートアップ企業の場合、セキュリティ投資に二の足を踏むケースも少なくありません。その場合は、UTM等のセキュリティ製品を導入することが対策の第一歩となります。

CheckPoint700シリーズは、エンタープライズレベルのセキュリティ機能を搭載しながら、中小企業様も導入しやすい価格帯を実現。導入から運用・サポートまで、すべてお任せいただけます。

img_cp700_01

参考(外部リンク)

「サプライチェーンにおける取引先のサイバーセキュリティ対策等に関する調査」結果について | 大阪商工会議所
2017年 情報セキュリティインシデントに関する調査報告書 | JNSA(日本ネットワークセキュリティ協会)

記事一覧に戻る