サプライチェーン全体がサイバー攻撃の標的となり、多くの企業が被害を受けている。特にランサムウェア攻撃の増加が顕著であり、その背景には攻撃者と防御側の「不均衡」がある。攻撃者は資金や人材が豊富で、迅速に行動できる一方、防御側の企業は社内調整や予算確保に時間がかかり、対応が遅れがちだ。さらに、暗号資産の普及により攻撃者が匿名で収益を得やすくなり、サイバー犯罪のエコシステムが拡大している。

サイバー攻撃グループはもはや「愉快犯」ではなく、巨額の資金を持つ犯罪組織として、本気で企業の資産を狙っている。個々の企業がこれらの脅威に単独で対抗するのは難しいが、限られたリソースの中でも防御を強化し、リスクを最小限に抑える必要がある。

特に、ランサムウェア攻撃は「事業そのもの」を人質に取り、システム停止や復旧コストの発生、さらにはサプライチェーン全体への影響を引き起こす。企業規模に関わらず、顧客データや取引情報を持つすべての企業が標的となり得るため、対策を怠るべきではない。

企業は従来からマルウェア対策やファイアウォールなどに投資してきたが、それだけでは「対策の抜け漏れ」を防げない。攻撃者は企業の外部から見えるシステム環境を調査し、気づかれていない脆弱性を突いて侵入する。

特に、未適用のセキュリティパッチ、放置されたサーバ、管理されていないデバイスや証明書などが攻撃の起点となりやすい。DX推進が進む中、システムの一貫した管理が難しくなり、セキュリティ対策の見通しが悪化している企業も多い。

ここへ来て「脆弱性診断」と異なる「ASM」の併用が推奨されるようになった。
「ASM」は組織のシステム全体の脆弱な状況を可視化し、リスクを俯瞰的に管理するのに対し、「脆弱性診断」は特定のシステムに対し詳細な調査を行う。ASMは、取引先やサプライチェーンのリスク評価にも活用でき、経営判断を支援する役割も担う。

業界団体や経営者団体でも勉強会を開催しているので、一度参加されることをお勧めします。