Bitsightによると、英国企業は世界の同業他社よりも大規模で複雑、かつ露出度の高いデジタルサプライチェーンを抱えており、中国軍と関連する企業に大きく依存している。
このサイバーセキュリティベンダーは、第三者との関係に関するデータに加え、自社のセキュリティスキャン技術、エンティティマッピング、財務データを用いて、最新レポートUnder the Surface: Uncovering Cyber Risk in the Global Supply Chain.を作成した。
同調査では、50万の組織、4万の製品、1万2000のプロバイダー、そして6100万件超のデジタルサプライチェーン上の関係性をマッピングした。
その結果、典型的な英国の組織は29.1の異なるプロバイダーと81.6の異なる製品を利用しており、これは世界平均より10%大きいデジタルサプライチェーンに相当することが分かった。Bitsightは、サプライチェーンが大きいほど、脅威アクターが狙う攻撃対象領域も拡大すると主張した。
サプライチェーンリスクについて詳しく読む: Tj-actionsのサプライチェーン攻撃で2万3000組織が露出
英国企業にとって特に懸念すべき点が2つ浮き彫りになった。1つ目は、米国防総省が「中国軍事企業」に指定する組織への依存が見られることだ。
英国のサプライチェーンの約30%(米国では33%)が、Tencent、China Telecom、Qihoo、China Unicom、Huaweiなど、こうした企業と結び付いている。さらに驚くべきことに、7%(米国では11%に上昇)が、中国政府機関でありAIを活用した監視技術の開発で知られる公安部第三研究所と取引関係を持っている。
英国および世界の組織にとって2つ目の大きな懸念は、「隠れた支柱(hidden pillars)」の存在だ。これらは、比較的少数の顧客にサービスを提供する専門プロバイダーである一方、主要産業において極めて重要な役割を担っている。
これらの企業は、顧客数ベースの市場シェアは通常2%未満である一方、売上シェアは20%超となるのが一般的で、主にテック分野に存在する。Dynatrace、Cloudera、QlikTech、databricksのような企業が含まれる。
Bitsightは、これらの企業のいずれかで障害が発生すれば、世界経済の広範囲に「連鎖的」な影響を及ぼし得ると警告した。
Bitsightの主任リサーチサイエンティストであるBen Edwards氏は、「この1年で、デジタルサプライチェーンにおけるインシデントが世界経済全体に巨大な波及効果をもたらし得ることを示す、非常に目立つセキュリティインシデントをいくつも目にしてきた」と述べた。
「最もセキュリティ意識の高い企業であっても、サプライチェーンの弱点に対して脆弱だ。組織は第三者ベンダーやサプライヤーを継続的に評価し、セキュリティギャップを埋めるために能動的に取り組まなければならない。」
注目を集めるプロバイダー
また同レポートは、デジタル製品のサプライヤーやプロバイダーは、複雑なベンダー関係とより大きな攻撃対象領域のため、顧客よりもセキュリティリスクにさらされやすいことが多い点も強調した。
Bitsightが述べたところによれば、平均してプロバイダーは顧客の2.5倍の製品を使用し、世界全体で顧客の10倍のインターネットに面した資産を保有している。
また、パッチ管理、オープンポート、安全でないシステム、ボットネット感染など、いくつかの重要分野において企業顧客より遅れを取っている。
翻訳元: https://www.infosecurity-magazine.com/news/third-uk-supply-chain-relies/
