最も危険な業界はどこか サイバー攻撃への対応能力が低下中

2023年1月に開催された世界経済フォーラムの年次総会ではさまざまな経済問題、政治問題が話し合われた。中でもサイバーセキュリティに注目が集まり、ある業界が危険だと分かった。

[David Jones，Cybersecurity Dive]

　世界経済フォーラム（WEF）の年次総会「ダボス会議」（2023年1月16〜20日、スイスのダボスで開催）でSecurityScorecardが発表した報告書によれば（注1）、ある業界が全世界でデータ侵害の大きなリスクにさらされているという。

約半数の企業がリスクに直面

　報告書によれば、米国政府によって指定された主要セクターの重要な企業のうち、この業界では48％がサイバー耐性「C」以下だと評価された。悪意のある攻撃に対して特に脆弱（ぜいじゃく）だ。

　その業界とは製造業だ。

　SecurityScorecardのアレクサンドル・ヤンポルスキー氏（共同設立者兼CEO）は「主要セクターの重要な製造業部門には、サイバー耐性を達成するために実行しなければならないことがある」と述べた（注2）。自動化に依存する重要な製造業者が増えており、そのような企業のリスクレベルは部品やアプリケーションなどのエコシステム全体との関係に依存する。

　問題なのはエコシステムと関係することで、多くの製造業者のサイバーリスクレベルが下がることだ。確認された侵害のうち54％は、他の企業に原因があるとヤンポルスキー氏は述べた。具合が悪いことに多くの企業は、潜在的な攻撃からビジネスエコシステムを保護するための可視性を欠く。

パッチケイデンスが低下

　報告書によるとこれらの製造業者にはもう一つ問題がある。企業が重要な脆弱性に対処するためにどれだけ迅速にセキュリティアップデートを適用できるかを示す「パッチケイデンス」が低下していることだ。

　パッチケイデンスを分析することで、企業がどれだけ古い資産を保有しているのか、そして同業他社と比較してどの程度の割合でパッチを適用しているのかが分かる。

　重要な製造業のパッチケイデンスは、2022年の88点から今回76点に低下した。

　SecurityScorecardの報告書は、世界中の重要な製造業に対してサイバー攻撃の脅威が高まっているときに公開された（注3）。2022年初頭のロシアのウクライナ侵攻により、NATO諸国のさまざまな施設に対する攻撃の脅威が高まった。

　サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA：Cybersecurity and Infrastructure Security Agency）も重要な製造業に注目している。CISAはパイプやワイヤー、スプリングなど上流金属製品を製造する「第一次金属製造」の他、「機械製造」「電気機器、家電、部品 製造」「輸送機器製造」を重要な製造業と定義している。中小規模の製造業者は（注4）、高度な攻撃を防ぐための財源や人材が不足しがちであり、脅威にさらされているという。

出典：Almost half of critical manufacturing organizations face significant risk of data breach（Cybersecurity Dive）

注1：Addressing the Trust Deficit in Critical Infrastructure（PDF）

注2：Five Steps Critical Manufacturing Can Take to Boost Cyber Resilience

注3：US, allies blame Russia for Viasat cyberattack（Cybersecurity Dive）

注4：CISA aims for target rich, resource poor sectors in rollout of security basics（Cybersecurity Dive）