ダイブ・ブリーフ
新しいレポートによると、金融機関はサプライチェーンの侵害を防ぐために、ベンダーの定期的な監督を行うべきです。
ダイブ・ブリーフ:
- 金融機関にサービスを提供する企業は、サイバーセキュリティの面で顧客である金融機関よりも劣っていると、BitSightが木曜日に発表したレポートで述べられています。
- 金融サービス企業とそのベンダーとの間のセキュリティ格差は、金融業界が他の業界よりもサイバーセキュリティで優れているにもかかわらず、依然としてサプライヤーの失敗にさらされているという、重大なサードパーティリスクを浮き彫りにしています。
- BitSightは、金融サービス企業はサプライチェーン攻撃を防ぐために、サプライヤーに対して「厳格な精査と監視」を行うべきだと述べています。
ダイブ・インサイト:
金融サービス組織とそのベンダー間の格差を評価するために、BitSightは各グループからさまざまな企業を選び、スパムブロック、オープンポート、モバイルアプリケーションのセキュリティ、エンドポイントセキュリティ、パッチ適用の頻度など22のリスクベクトルでテストしました。16のリスクベクトルで、サプライヤーは顧客よりも悪い結果となり、その差は最大15%に達しました。ウェブアプリケーションのセキュリティ、TLS、HTTPヘッダーなどが、サプライヤーが顧客よりも特に劣っていた分野です。
サプライヤーは、DMARCやDKIMのメールセキュリティプロトコル、ドメインルックアップデータを保護するDNSSECプロトコルの利用など、6つのリスクベクトルでは顧客よりも良い結果を示しました。サイバーリスク分析会社のBitSightは、この結果は「より大規模でテクノロジーに特化した組織に期待される傾向と一致している」と述べています。
BitSightによれば、サプライヤーは顧客よりも多くのデジタル資産を持っているため、デジタルリスクも多いのは驚くことではありません。これらのベンダーはまた、「顧客のために解決している問題に関連するサイバーリスクも吸収している」とレポートは述べています。
それにもかかわらず、BitSightはレポートで「規制要件やリスクの露出を考えると、金融業界の組織が自社のサプライヤーがセキュリティ面で劣っていることを知るのは懸念すべきことかもしれません」と述べています。
レポートによると、金融業界は他の業界よりもサプライヤーのセキュリティ監視をより良く行っています。金融企業の平均ではサプライチェーンの36%を監視しており、全業界平均の25%を上回っています。
「テクノロジープロバイダーに関するサプライチェーンインシデントが増えていることを考えると、金融業界の組織はもっと多くのプロバイダーを監視すべきかもしれません」とBitSightは述べています。「一方で、金融業界の組織は重要度の判断を行い、サプライチェーン内の大多数のテクノロジーベンダーは継続的な監視が不要だと結論付けている可能性もあります。」
BitSightによると、顧客がセキュリティを監視していない金融業界のサプライヤーは、監視されているサプライヤーと比べて、重大な脆弱性が約3倍多く存在しています。
レポートで最も興味深い統計の一つは、複数の顧客に監視されているサプライヤーのパフォーマンスに関するものです。BitSightは「より多くの組織に監視されている[サプライヤー]のセキュリティパフォーマンスがわずかに低下している」ことを発見しましたが、これはそのサプライヤーが最大手であり、攻撃対象領域も大きいからかもしれないと述べています。
「これはさらなる分析に値する傾向だと考えており、今後この分野について追加調査を行う予定です」とBitSightは述べ、「組織との直接的な関与がセキュリティ体制に与える影響も含めて調査します」としています。
