サイバーニュース.jp

世界のサイバーなニュースを配信

Panoraysの2026年CISO調査:85%のCISOがサプライチェーン攻撃におけるサードパーティの脅威を認識できず

カテゴリ:

はじめに

Panoraysは、サードパーティセキュリティリスク管理ソフトウェアのリーディングプロバイダーとして、2026年版年次CISO調査結果を発表しました。この調査は、サードパーティのサイバーリスクが今日のセキュリティリーダーが直面する最も重要な課題の一つであることを浮き彫りにしています。サードパーティセキュリティインシデントの増加を報告するCISOが60%に達する一方で、これらのリスクに対して「完全な可視性を持っている」と回答したのはわずか15%に留まっています。このギャップは、限られたリソースと、ダイナミックなサプライチェーンの脅威を大規模に管理するために設計されていないテクノロジースタックによってさらに深刻化しています。

主な調査結果と洞察

米国企業200社のCISOからの回答に基づいたこの調査は、ソフトウェアサプライチェーンセキュリティの強化におけるサイバーセキュリティ幹部の継続的な課題に焦点を当てています。これらの取り組みは、リソースの制約と不十分な技術スタックによってさらに阻害されています。既存のガバナンス、リスク、コンプライアンス(GRC)プラットフォームの採用が増加しているにもかかわらず、セキュリティチームは依然としてサードパーティの脅威に対処する能力や自信を得られていません。

  • 準備不足は危険なほど低い:CISOの77%がサードパーティのリスクを主要な脅威と見なしている一方で、危機対応計画をテスト済みであるのはわずか21%です。これは、組織が長期間のサービス停止、機密システムの露出、経済的損失、コンプライアンス違反のペナルティに脆弱であることを示唆しています。
  • ほとんどの組織はベンダーに対して盲目:60%がサードパーティ侵害の増加を報告しているにもかかわらず、直接的なサプライヤー以外を監視しているのは41%に過ぎません。CISOは大規模な監視ギャップに直面しており、最大の脅威は組織の目に見えないところに潜んでいます。
  • シャドーAIが新たな攻撃経路を生み出している:急速なAI導入にもかかわらず、正式な審査プロセスを持つCISOはわずか22%であり、管理されていないサードパーティAIツールがコア環境に組み込まれています。回答者の60%がシャドーAIを独自のリスクと認識しており、これはCISOにとって危険で増大する盲点となっています。
  • CISOはコンプライアンススタックに不満:調査では、61%の企業がGRCソフトウェアソリューションに投資しているものの、66%がこれらのプラットフォームが外部のサードパーティサプライチェーンリスクの動的な性質に対処する上で効果的ではないと回答しています。
  • 静的セキュリティ評価はもはや役に立たない:CISOの間でこの認識は高まっており、71%が従来の質問票が期待に応えられず、脅威の可視性ではなく疲労を生んでいると認めています。幸いにも、CISOは迅速に代替策を受け入れており、66%がAI駆動型評価ツールに移行しています。

Panorays共同創設者のコメント

Panoraysの共同創設者兼CEOであるMatan Or-El氏は、「私たちの調査結果は、サードパーティのセキュリティ脆弱性がなくなるどころか、危険なまでの可視性不足と、管理されていないAIツールの無秩序な採用により、さらに蔓延していることを示しています。一方、CISOのわずか15%しかサプライチェーン全体をマッピングできる能力がないというのは特に憂慮すべきことです」と述べています。

Or-El氏はさらに、「AIの台頭はサプライチェーンをさらに複雑にし、これらのデータに依存するシステムの相互接続性が攻撃対象領域を拡大させています。CISOは、進化する脅威の状況に対する明確性を高めるために、AI駆動型ソリューションの価値をますます認識しています」と付け加えています。

可視性は優先されているが、CISOの手足は縛られたまま

この新しいレポートは、従来のGRCプラットフォームが大規模なサードパーティリスク管理に失敗しているため、CISOの間で切迫感が高まっていることを示しています。組織のほぼ3分の2がGRCツールに投資しており、前年の27%から増加していますが、全体的な可視性は低下しており、これらのシステムの非効率性に対する不満が増大しています。

幸いなことに、より多くのCISOが高度なAI駆動型ツールの使用を模索することで、組織が可視性ギャップを埋めることができる兆候があります。サードパーティリスク管理のためのAIの採用は、1年前の27%から今年の66%へと急増しました。この変化により、組織がサードパーティの脅威の状況を適切に評価する能力は大幅に向上しましたが、依然として不十分です。2026年調査では、サプライチェーン全体に対して完全な可視性を持つCISOは15%に達しており、1年前のわずか3%から増加しましたが、まだ多くの課題が残っています。この進展は奨励されるものの、組織の85%が依然として全体的な脅威の状況を完全に把握できていないため、全体像は依然として厳しいものがあります。

調査概要

2026年CISO調査は、2025年10月に独立系調査会社Global SurveyzによってPanoraysのために実施されました。この調査は、組織内のサードパーティサイバーセキュリティリスク管理を監督するフルタイム従業員である200人の最高情報セキュリティ責任者(CISO)からの回答に基づいています。サンプルには、金融、保険、専門サービス、テクノロジー、ヘルスケア、ソフトウェア開発分野のCISOが含まれていました。

元記事: https://gbhackers.com/2026-panorays-study-cisos-third-party-threats/

投稿をさらに読み込む