概要
金融機関は、サプライチェーンの侵害を回避するため、ベンダーに対する定期的な監視を徹底すべきです。BitSightが発表した新たな報告書によると、金融機関にサービスを提供するサプライヤーは、サイバーセキュリティ対策において、顧客である金融機関よりも劣っていることが明らかになりました。
このセキュリティギャップは、金融セクターが直面している主要なサードパーティリスクを浮き彫りにしています。金融セクターは一般的に他のセクターよりもサイバーセキュリティ対策に優れていますが、サプライヤーの不備によって依然としてリスクに晒されています。BitSightは、金融機関がサプライチェーン攻撃を防ぐために、サプライヤーに対して「厳格なデューデリジェンスと監視」を実施するよう提言しています。
詳細
BitSightは、金融サービス企業とそのベンダー間のギャップを評価するため、スパム遮断、オープンポート、モバイルアプリケーションセキュリティ、エンドポイントセキュリティ、パッチ適用頻度を含む22のリスクベクトルで両グループの企業をテストしました。
- サプライヤーは、16のリスクベクトルで顧客よりも劣っており、最大15%のギャップが見られました。
- 特に、Webアプリケーションセキュリティ、TLS、HTTPヘッダーの分野でサプライヤーのパフォーマンスが最も低かったです。
- 一方で、DMARCおよびDKIMメールセキュリティプロトコルや、ドメインルックアップデータを保護するためのDNSSECプロトコルなど、6つのリスクベクトルではサプライヤーの方が顧客よりも優れたパフォーマンスを示しました。BitSightは、この結果は「より大規模で技術に特化した組織の期待と一致する」と述べています。
サプライヤーが顧客よりも多くのデジタルリスクを抱えているのは、彼らがより多くのデジタル資産を保有していること、そして顧客のために解決している問題に関連するサイバーリスクを吸収しているためだとBitSightは分析しています。しかし、報告書は「規制要件とリスク露出を考慮すると、金融セクターの組織が、サプライヤーがセキュリティに関して劣る傾向にあることを知るのは憂慮すべきことかもしれない」と指摘しています。
金融セクターは、他のセクターと比較してサプライヤーのセキュリティ監視において進んでおり、平均してサプライチェーンの36%を監視しています(全セクターの平均は25%)。しかし、BitSightは「テクノロジープロバイダーが関与するサプライチェーンインシデントの増加を考慮すると、金融セクターの組織はより多くのプロバイダーを監視すべきかもしれない」と述べています。
BitSightによると、顧客によって監視されていないサプライヤーは、監視されているサプライヤーと比較して、環境に約3倍の重大な脆弱性を抱えています。また、複数の顧客に監視されているサプライヤーのセキュリティパフォーマンスがわずかに低下するという興味深い統計も発見されました。これは、これらのサプライヤーが最大のベンダーであり、攻撃対象領域が大きいためである可能性があり、BitSightはこの傾向についてさらなる分析を行う予定です。