サードパーティやサプライチェーンがもたらすリスクをどの程度把握しているか

ビジネス関係のリスクを隠す大きな死角を減らす

見えないものを保護することはできません。PwC 2022 Global Digital Trust Insights Surveyのほとんどの回答者は、サードパーティリスク（ビジネスパートナーシップやベンダー／サプライヤーネットワークの複雑さにより隠されているリスク）の把握が困難であると回答しています。

正式かつ全社的なアセスメントによって、サードパーティによるデータ侵害のリスクを完全に把握していると答えた回答者は40％にとどまりました。4分の1近くが、これらのリスクの全てをほとんど、または全く把握していないと回答しています。サードパーティによるデータ侵害のリスクは、サイバー攻撃者が十分に認識し、悪用しようと画策している重大な死角です。

回答者の56％は、ソフトウェアサプライチェーンへの攻撃を起因として報告されるインシデントが2022年に増加すると予想していますが、このリスクに対する自社のエクスポージャーを正式に評価していたのは34％にとどまります。クラウドサービスへの攻撃の急増を予測していたのは57％ですが、正式なアセスメントに基づいてクラウドセキュリティリスクを把握していると答えた回答者は37％のみでした。

一方、「最も進展した」企業は注意を払い、行動を起こしており、サードパーティに関するリスクを十分に把握していると答えた割合がそれ以外の企業に比べて11倍高くなっています。その約4分の3が、6つの分野のうち5つで、サードパーティに関するリスクを詳しく把握していると回答しました。

また、「nth-party」リスク（サプライヤーのサプライヤーなどが将来もたらすリスク）の理解についてのみ、リスクを把握している割合は低下し、「最も進展した」企業では69％、その他に関して31％となりました。関係が複雑になればなるほど、そこに潜むリスクが見えにくくなる傾向があります。

複雑なビジネスエコシステムがもたらす脅威の増大に対応していると答えた回答者は、全体の半分以下（30％～46％）でした。これらの回答者たちは、将来よりも現在に注力した対応を実施しているとみられます。サードパーティに関するリスクをどのように最小化しているかという質問に対しては、サプライヤーのコンプライアンスを監査／検証する（46％）、サードパーティと情報共有する／サイバースタンスの改善を他の方法で支援する（42％）、サイバーレジリエンスに対するコストや時間に関するの課題に対処する（40％）など、主に受け身の回答が見られました。

「オンボーディング時と継続的な評価の基準について改善している」という回答が上位回答の1つとして挙げられ（42％）、積極的で、長期的にメリットが得られると考えられます。特に上場企業（47％）ではこの段階にあると回答する傾向が目立ちました。

それでも、半数以上の企業は、サードパーティのリスク管理により永続的な影響を与えられるような行動を取っていません。サードパーティの評価基準を改善しておらず（58％）、契約の書き換えも行わず（60％）、デューデリジェンスの厳格化も行っていません（62％）。一方、「最も進展した」企業は、列挙された7つの行動の全てを実行した割合がそれ以外の企業と比べて5倍高くなっています。

企業には、サードパーティやサプライチェーンから生じるリスクに対して大きな死角がある

高－正式な、全社的評価に基づく理解

中－定期的でない評価に基づく限定的な理解

低－事例に基づく理解、評価なし

理解していない

データ侵害

%

プライバシー侵害

%

クラウドセキュリティリスク

%

IoT／テクノロジーベンダーのリスク

%

ソフトウェアサプライチェーンのリスク

%

Nth-partyリスク

%

Q. 以下の分野で、サードパーティまたはサプライヤーから生じるサイバーリスクとプライバシーリスクについて、社内でどの程度把握していますか。
回答者数3,602名
出典：PwC、2022 Global Digital Trust Insights、2021年10月

先進的な取り組みを行った企業は、サイバーセキュリティ領域においてその他企業に比べて2倍以上の進展を見て取ることができた。

サプライチェーンのスリム化

サードパーティへの依存度は高まり続けています。APIを通じたデジタルインタラクションの普及と低コスト化により、複数ノードのパートナーシップ（リスクが隠れているポイント）を確立する企業内の「トランザクション」コストは減少しています。

現在トレンドとなっているサイバー攻撃の標的は、これまでで最も悪質と言えるかもしれず、信頼できるベンダー、サプライヤー、請負業者のサプライチェーンを標的としています。その武器は何でしょうか。多くの人が完全に当たり前だと考えている、ソフトウェアのアップデートです。受ける被害はどのようなものでしょうか。ランサムウェアによるサイバー犯罪者への身代金支払い、他国家への貴重な情報の流出、AIモデルのトレーニングデータの競合他社への流出などが挙げられます。Atlantic Councilによると、過去10年間におけるソフトウェアサプライチェーンに対する攻撃や開示の60％は、ベンダーや乗っ取られたアップデートによるものでした。欧州ネットワーク・情報セキュリティ庁（ENISA）は、2021年7月21日のレポートで、2021年のサプライチェーン攻撃は2020年の攻撃数の4倍になると予測しました。

企業は、自社のサイバー防御能力が優れている場合でも、サプライチェーン攻撃に対して脆弱である可能性があります。攻撃者は単純に、サプライヤーを通じて企業への新しい経路を見つければいいからです。ソフトウェアベースの攻撃を検出して阻止することは非常に難しく、複雑で解明しにくい可能性があります。これは、どのソフトウェアでも全てのコンポーネントが、ソフトウェアに統合され、その動作に必要なコードライブラリ、パッケージ、モジュールなどその他のコンポーネントに依存しているためです。

過去2年間にサイバーセキュリティで最高の成果を上げた企業は、スリム化に向けた措置としてテクノロジーベンダーを統合していました。テクノロジーやその他のサードパーティの数を減らすことで、複雑さが軽減され、それらがどの程度安全であるか把握できるようになります。1つのメリットとして、さまざまな部署（調達、リスクマネージャー、詐欺対策チーム、法務、セキュリティ）が、サイバー障害からサプライチェーンを保護するにあたり自身の役割をより理解できるようになることが挙げられます。また、監視するベンダーの数が減るため、企業がより効率的にセキュリティ対策を監視できるようになります。

サードパーティとの関係や依存関係を可視化することは必須です。大手のサイバーセキュリティ企業は、ソリューション（リアルタイムの脅威インテリジェンス、脅威ハンティング、セキュリティ分析、脆弱性管理、侵入検知・対応）を幅広いプラットフォームに統合しています。

最後に、優れた慣行が伴うとより効果的です。PwCのUS Digital Trust Insights Surveyでは、より先進的なデータトラストプラクティスを備えた回答者が複数の点で際立っていました。これらの企業は、サードパーティとの取引関係数を大幅に減らし、監視を強化し、サードパーティの評価を徹底し、サードパーティのリスク管理プログラムが過去2年間で具体的な成果を示したことに確信を持っていました。プログラムには、コスト削減の推進、ビジネスイニシアチブの迅速な実施、顧客の信頼性向上、市場支配力の強化などが含まれます。

半数以上の企業は、サードパーティのリスク管理により永続的な影響を与えられる3つの行動のいずれも取っていない

サードパーティ／サプライヤーのセキュリティ体制とコンプライアンスを監査または検証した

%

サードパーティのオンボーディングと継続的な評価の基準を改善した

%

サードパーティに知識を共有、または支援を実施し、サイバーセキュリティのスタンスを強化した

%

サイバーレジリエンスを発揮する自社の能力に影響する、コストまたは時間に関するの課題に対処した

%

自社のリスクを軽減するために、一部のサードパーティとの契約内容を更新した

%

より厳格なデューデリジェンスを実施した

%

特定のサードパーティとの関係を終了した

%

上記のいずれにも該当しない

%

Q. 過去12カ月間に、エコシステムにおけるサードパーティまたはサプライヤーのリスクを最小化するため、以下のいずれかの措置を実行しましたか。該当するものを全てチェックしてください。
3つの行動：サードパーティ評価基準の改善、契約内容の更新、より厳格なデューデリジェンスの実施
回答者数3,602名
出典：PwC、2022 Global Digital Trust Insights、2021年10月

官民連携

可視性には、他者がどのような課題に直面しているのか、その課題を解決するために何をしているのか確認できることも含まれます。協力者は、サイバービジネスエコシステムの重要な一部になり得ます。2021年初頭の重大なサイバーインシデントに関して、官民連携と政府の対応に助けられた企業や連邦機関に意見を聞いてみてください。情報のタイムリーな共有は、重要インフラであるかどうかを問わず、サイバーセキュリティ全般に関係します。

しかし、官民連携の取り組みがサイバーセキュリティ目標の達成に「非常に効果的に」役立っていると答えた回答者は、3分の1に届きませんでした。ただし、過去2年間にサイバーセキュリティで最高の成果を上げた企業は、官民連携の目標を「非常に効果的に」達成した割合がそれ以外の企業と比べて34倍高くなっていました。

2022年にサイバーセキュリティ予算を増やした企業は、以下の目標を「非常に効果的」に達成したと答える割合が非常に高くなっていました。

新たな脅威、アプローチ、ソリューションに関する知識を共有する（38％）
経済的損失を実際に回避する（36％）
組織に対するサイバー攻撃へのより効果的な対応に向けて、官民関係を活性化する（33％）
従業員の意識向上とスキルアップを促進する（32％）

「非常に効果的な」協力者には、テクノロジー・メディア・通信の協力者、年間売上高が50億ドル以上の企業、そして、より広範なサイバーセキュリティ意識の向上と人材のスキルアップの観点から、女性の回答者も含まれます。

提案された規則や規制に関して政府や政策立案者に影響を与えることについて、中小企業は大企業よりも実効性が低いことを認識しており、年間売上高が10億ドル未満の企業の回答者は、この影響力の行使について「あまり効果がない」と答える割合の高さが目立ちました（7％）。これに対して、10億ドル以上の企業では4％、50億ドル以上の企業では3％となっています。

協力者は安全なエコシステムの重要な一部分である。攻撃を受けた後だけではなく、攻撃の前に、より効果的な官民の連携が必要となる。

Q. 最も重要な官民連携のメカニズムについて考えた場合、官民連携に関する企業の目標はどのようなものですか。その目標のそれぞれについて、過去1年間で、貴社の組織はどの程度達成しましたか。
回答者数3,602名
出典：PwC、2022 Global Digital Trust Insights、2021年10月。

重要なポイント

COO、サプライチェーン担当の経営層の場合

システム、特に最も重要な関係をマッピングし、サードパーティトラッカーを使用して、サプライチェーンの中で最も弱いリンクを特定する。
ソフトウェアベンダーを、期待するパフォーマンス基準に照らして精査する。企業が使用するソフトウェアとアプリケーションは、ネットワークデバイスやユーザーに対するものと同レベルの精査とテストを受ける必要がある。米国国立標準技術研究所（NIST）からは、2021年7月にソフトウェアテストの最低基準が発表されている。
サードパーティとサプライチェーンのリスクを徹底的に解明し、ビジネス関係とサプライチェーンをスリム化する方法を特定する。チェーンを分断すべきか、結合すべきか判断する。

CRO、CISOの場合

ソフトウェアを通じてサイバー攻撃の検出、抵抗、対処を行う技術的能力を強化し、アプリケーションを統合して一元的に管理・保護できるようにする。
サードパーティリスク管理室を設置し、サードパーティリスクを管理する全ての活動を取りまとめる。
データトラストプロセスを強化する。データは、サプライチェーンに対するほとんどの攻撃の標的になっており、データトラストと優れたサードパーティリスク管理は密接に関連している。
サードパーティやサプライチェーンがもたらすサイバーリスクとビジネスリスクについて、取締役会の知識強化を図る。