【セキュリティレポート】
2023年上半期の国内セキュリティインシデントは450件
～委託先や子会社などサプライチェーンに起因するインシデントは103件～

情報セキュリティメーカーのデジタルアーツ株式会社（本社：東京都千代田区、代表取締役社長：道具　登志夫、以下 デジタルアーツ、証券コード2326）は、2023年上半期の国内セキュリティインシデントを集計したセキュリティレポートを公開したことを発表します。

2023年上半期の国内組織における情報漏えいなどのセキュリティインシデントを独自に集計

2023年上半期（1～6月）の国内組織における情報漏えいなどにかかるセキュリティインシデントを、対象組織による公開報告書およびマスメディアによる報道資料をもとに独自に集計しました。

2023年上半期のセキュリティインシデントは、450件となることがわかりました。

2022年上半期には、1位の299件と過去最多であった「マルウェア感染」は、Emotetの活動休止により、2023年上半期は5位の43件と大幅な減少となりました。Emotetは、2022年7月中旬からメールでの配信活動を休止し、その後、11月や2023年3月にも短期間の活動が見られたものの、現在は再び休止しています。一方で、その他全てのインシデントは前年同期と比較して、増加していることがわかります。

他社を介して被害も。上半期のインシデントのうち、サプライチェーンに起因するインシデントは23%

2023年上半期のセキュリティインシデント450件のうち、自社が直接的な要因ではなく、委託先や子会社、利用サービス事業者側が起因となる、いわゆる「サプライチェーンに起因するインシデント」は103件と、全体の23％となることがわかりました。

近年、サプライチェーンの弱点を悪用した攻撃は大きな脅威となっています。委託先や取引先、クラウドサービスなどとのネットワーク接続が増え、サプライチェーンは多様化・複雑化しています。こうしたサプライチェーンにおいて、セキュリティ対策が十分でないと、自社が被害を受けるだけでなく他社へ被害を与えてしまったり、他社やクラウドサービスが起因となって被害を受けてしまうこともあります。

そのため、自社でのセキュリティ対策の徹底に加え、関わりのある他社でのセキュリティ対策の確認や監査も行いながら、サプライチェーン全体でも被害が発生しにくい環境を目指していく必要があります。

公表されるセキュリティインシデントは増加傾向

過去5年と比較してセキュリティインシデントが増加傾向にある理由は、セキュリティに関する意識の変化をはじめ、リスク回避を目的とした予防的な公表、ランサムウェア被害によってサービス提供ができなくなるなど公表せざるを得ないといった場合が考えられます。

個人情報保護法の改正に伴い、個人情報が漏えいした際は個人情報保護委員会への報告や本人への通知が義務づけられています。企業のWebサイトなどでの公表は義務化されていないものの、Webサイトで個人情報の漏えいを公にする組織も増えていることも、公表されるセキュリティインシデントが増加した理由として推測されます。


詳細のセキュリティレポートはこちら
2023年上半期国内セキュリティインシデント集計
https://www.daj.jp/security_reports/32/

「DigitalArts@Cloud」、「Desk」が「政府情報システムのためのセキュリティ評価制度（ISMAP）」に登録

デジタルアーツの「DigitalArts@Cloud」、「Desk」※1は政府情報システムのためのセキュリティ評価制度（ISMAP）に登録されています。
ISMAPは、政府機関におけるクラウドサービス導入にあたり、情報セキュリティ対策が十分に行われているサービスを調達できるよう、政府が求めるセキュリティ要求を満たしているクラウドサービスをあらかじめ評価・登録する制度です。また、政府機関が情報システム基盤として利用するクラウドサービスは、「ISMAPクラウドサービスリスト」の中から調達することが原則とされており、2023年7月時点では国内外48サービスが登録されています。

ISMAPに登録されているサービスは、一定水準以上のサービスであることが客観的に判断でき、独自のセキュリティ評価を実施する際の手間やコストの削減に繋がります。

※1対象サービスは、「i-FILTER@Cloud」通常版、「m-FILTER@Cloud」通常版、「m-FILTER@Cloud」誤送信対策版、「FinalCode@Cloud」、「Desk（ISMAP対応オプション）」