ヨーロッパの Top-100 社：レジリエンス評価 A の企業は僅か 26% – SecurityScorecard

Only 26% of Europe’s top companies earn a high rating for cybersecurity

2025/01/06 HelpNetSecurity — 2025年1月17日に設定された EU の Digital Operational Resilience Act (DORA) の期限が迫っているが、ヨーロッパの Top-100 企業はというと、緊急のサイバー・セキュリティの課題に直面していると、SecurityScorecard が報じている。

A レベル評価の企業は侵害に対して安全

このレポートが強調するのは、サイバー・レジリエンスに関する実用的な洞察を提供するための、 SecurityScorecard の A から F の評価システムの役割である。F 評価の企業は、A 評価の企業と比べて、侵害に遭遇する可能性が 13.8 倍も高いと判明している。

エコシステムにおける 3rd-Party／4th-Party の存在が、セキュリティ上の重大な懸念として浮上する中において、ヨーロッパの大手組織にとってもサイバー・セキュリティの課題が増大している。驚くべきことに、ヨーロッパの企業の 98% が、この１年間に 3rd-Party 侵害を経験し、ビジネスの中断や評判低下のリスクにさらされている。その一方で、この１年の間にダイレクトな侵害を報告した企業は 18% であり、内部防御に大きなギャップがあることを示している。

ヨーロッパの Top-100 社のうち、サイバー・セキュリティ耐性で A 評価を獲得したのは、わずか 26% である。A 評価を獲得した企業の 100% が、この１年間において侵害を受けていない。そのことが、A 評価の重要性を示している。

サプライ・チェーンの脆弱性は、組織のネットワークに侵入する敵対者とって、きわめて簡単な侵入口となる。あらゆる規模の組織において、全体的なセキュリティのレベルは、最も脆弱なパートにより引き下げられてしまう。つまり、セキュリティに多額の投資をしている組織であっても、3rd-Party／4th-Party の脆弱性リスクに直面することになる。

エネルギー分野の企業は、全体的なセキュリティ評価が最も低く、75% が C 評価以下という驚くべき結果を示している。この業界は、3rd-Party／パートナー／サービス・プロバイダーで構成される広大​​なネットワークを持っている。その結果として、きわめて複雑な攻撃対象領域を持つことになるため、このような数値に驚くべきではないだろう。エネルギー分野の企業の 25% が、この１年の間にダイレクトな侵害を経験している。

運輸の分野には、C 評価の企業がなく、ヨーロッパでは安全であることが際立っている。それに続くテクノロジー分野では、C 評価の企業は僅か 25% である。

スカンジナビアに目を転じれば、サイバー・セキュリティでリードしており、C 評価の企業は僅か 20% であり、英国 24%／ドイツ 34%／フランス 40%／イタリア 41% と比較して優れた評価を得ている。フランスの場合には、3rd-Party／4th-Party の侵害率が、それぞれ 98% と 100% であり、他国と比べて最も高くなっている。この比率は、英国／ドイツ／イタリア／スカンジナビアを上回っており、サプライ・チェーンのセキュリティ管理における、重大な脆弱性が浮き彫りにされている。

セキュリティ評価では、大企業が中小企業を上回る

時価総額における上位 50 社 (82 billion USD 以上) は、時価総額の低い 50 社と比べて、高いセキュリティ評価を受けている。時価総額の低い企業の 36% が、C 評価以下に留まっている。その一方で、価値の高い企業の 24% が、C 評価以下となっている。

このような調査結果が示すのは、規模／業種／価値／収益には関係なく、強力なサイバー防御を持たない企業であれば、サイバー犯罪者の標的になり得るということだ。

SecurityScorecard の SVP of Threat Research and Intelligence である Ryan Sherstobitoff は、「サプライ・チェーンの脆弱性は、依然として重大な脅威であり、それらの脆弱なリンクを悪用する敵対者は、グローバルなネットワークへと侵入していく。その一方では、DORA などの規制により、サイバー・セキュリティ標準が再編される予定がある。したがって、欧州企業にとって必要なことは、サードパーティのリスク管理を優先し、評価システムを活用し、エコシステムを保護することである」と述べている。

SecurityScorecard の VP, Global Government Affairs & Public Policy である Jeff Le は、「当社のデータが明確に示すのは、最高レベルのサイバー・セキュリティ評価を受けた組織おいては、侵害を受ける可能性が、はるかに低いことである。これらの評価を活用することで、企業は自社を保護できるようになる。それに加えて、ベンダーにも責任を負わせることで、より強力で回復力のあるサプライ チェーンを構築できる」と指摘している。

ほぼ、すべての企業が、3rd-Party／4th-Party を介した侵害に直面しており、重大なリスクにさらされている。したがって、欧州の大半の企業にとって、サイバー・セキュリティ衛生の改善が、最優先の事項となっている。

レジリエンス (回復力) を構成する要素ですが、NTT の「サイバーレジリエンスとは？事業継続性向上やBCPに必須な対策」を参照すると、① 統治 (Govern)／② 特定 (Identify)／③ 防御 (Protect)／④ 検知 (Detect)／⑤ 対応 (Respond)／⑥ 復旧 (Recover) が挙げられています。侵害されることを前提とする対策が並んでいますが、昨今の状況を考えると、きわめて重要なことなのだろうと思えてきます。よろしければ、opentext の「What is the Digital Operational Resilience Act (DORA)?」も、ご参照ください。