BlueVoyantの新しい調査によると、組織の圧倒的多数(97%)がサプライチェーン侵害によって悪影響を受けています。
これは2024年の81%から大幅な増加であり、サードパーティリスク管理(TPRM)プロバイダーによる同じ年次調査で、同様のインシデントを経験したと回答した割合を上回っています。
サードパーティリスク管理プログラムの成熟度が向上
この懸念すべき状況にもかかわらず、サプライチェーン防御の現状:年次グローバルインサイトレポート 2025(11月20日発表)は、多くの組織がサプライチェーンインシデントをより効果的に防止・軽減・解決するための取り組みを加速させていることを明らかにしました。
例えば、回答者のほぼ半数(45%)が、問題解決のためにサードパーティと協力しており、直接協力している(23%)、またはサードパーティ側で解決策を見つけるための支援を提供している(22%)としています。
レポートによれば、組織はTPRMプログラムの重要性を理解しており、ほぼ半数(46%)が成熟したプログラムを導入していると主張しています。
さらに、組織はサプライチェーンリスクをサイバーセキュリティの必須事項としてますます認識しており、現在36%のプログラムがサイバー/情報セキュリティまたは情報技術チーム内に設置されており、これは過去数年と比べて増加しています。
主な課題:賛同の欠如とコンプライアンス重視のアプローチ
しかし、成熟度が高いからといって必ずしも有効性が保証されるわけではありません。BlueVoyantのレポートによると、TPRMプログラムの管理者は多くの課題に直面しており、60%の回答者が最も大きな障害として内部サポートの欠如を挙げています。
また、セキュリティ管理者と経営幹部との間のセキュリティに関する関係もやや疎遠であり、毎月またはそれ以上の頻度で経営幹部にセキュリティ報告を行っている組織はわずか24%です。大多数(59%)は3~6か月ごとにしか報告を行っていません。
さらに、レポートは一部の組織がリスク削減ではなく、コンプライアンスチェックリストに基づいてTPRMプログラムを構築していることを示唆しており、リスク削減を主要な推進要因として挙げた回答者はわずか16%で、サイバー保険要件、契約上の義務、取締役会の指示が上位に挙がっています。
レポートで強調されたもう一つの問題点は、TPRMプログラム、たとえ成熟したものであっても、より広範な企業リスクフレームワークに統合されていないことであり、特に金融サービス、製造、防衛、小売などの分野で顕著です。
最後に、96%以上の組織がサードパーティエコシステムの拡大を計画している一方で、多くの組織が可視性、検証、是正能力を拡充するよりも速いペースでベンダーを追加していることがレポートで強調されています。
BlueVoyantのサプライチェーン防御の現状:年次グローバルインサイトレポート 2025は、同社による6回目の年次調査です。Opinion Mattersが、金融サービス、医療・製薬、公益・エネルギー、小売、製造、防衛など幅広い業界の従業員1000人以上の組織に所属する1800人のITおよびサイバーセキュリティリーダーを対象に実施しました。
調査は2025年9月に、オーストラリア、オーストリア、カナダ、ドイツ、日本、マレーシア、フィリピン、シンガポール、スイス、英国、米国で実施されました。
翻訳元: https://www.infosecurity-magazine.com/news/supply-chain-breaches-impact/
