OEMはサプライチェーンのサイバーセキュリティへの投資が不可欠

世界中のほぼすべての産業がサイバー犯罪者の標的となっています。その目的は、金銭、計算能力、企業や顧客のデータなどです。エレクトロニクスのサプライチェーンは特に脆弱であり、サイバーセキュリティは私たち全員の最優先課題であるべきです。

1例を挙げます。2025年2月、台湾のプリント回路基板メーカーであるUnimicronが、Sarcomaランサムウェア攻撃を受けました。¹このグループは、2024年7月から2025年3月までの間に83件のサイバー攻撃を実行したとされています（図1）。²Unimicronへの侵入の一環として、サイバー犯罪者は、攻撃中に同社のシステムから盗んだとされるファイルのサンプルを公開し、身代金支払いを拒否した場合、377GバイトのSQLファイルと企業データ文書をすべて漏洩すると脅迫しました。

図1：Sarcomaは、製造やテクノロジー企業を含む世界中の組織をランサムウェア攻撃の標的としています。これまでのところ、攻撃は北米とヨーロッパに集中しています。（画像提供：Ransomware.live）

深刻化する問題

Cybersecurity Venturesの2025年報告書によると、サイバー犯罪のコストは2015年の3兆ドルから、2025年には年間10.5兆ドルに達すると予測されています。³ Gartnerの情報によると、ソフトウェアサプライチェーンへの攻撃によるコストだけでも、2023年の460億ドルから2031年には1,380億ドルに増加すると推定されています。⁴

侵害のコストも増加しています。IBMの調査によると、サイバーセキュリティ侵害の平均コストは488万ドルに達しています。⁵この数値にはハードコストのみが含まれており、ブランド価値の低下などの潜在的なソフトコストは考慮されていません。

アナリストや専門家は、サイバー犯罪の急増の理由として、以下の点を挙げています。

• 組織のソフトウェアへの依存度の増加：エレクトロニクス業界では、企業は自社開発のアプリに依存し、保護環境を構築していました。現在では、ほとんどの組織がサードパーティのソフトウェアやオープンソースアプリケーションに依存しているため、悪質な攻撃者が悪意のあるコードを注入し、混乱を引き起こすことが可能になっています（図2）。
• 労働者のリモートワークやハイブリッドワークの増加：自宅やさまざまな場所で働く従業員が増えるにつれ、潜在的な攻撃対象領域が拡大し、脆弱性が高まっています。
• モノのインターネット（IoT）とクラウドの普及：IoTデバイスやクラウドインフラは便利ですが、攻撃者にとっての侵入ポイントを増加させます。
• 攻撃者の手口の高度化：国家に支援されたグループやランサムウェアの攻撃者は、ますます洗練された手法を使用して組織を標的にしています。

図2：オープンソースの依存関係で発見された悪意のあるコンポーネントの増加の概要を示しています。（画像提供：Gartner）

安全を最優先にする4つの方法

攻撃者はますます巧妙になってきています。そのため、組織は常に警戒を怠らない必要があります。サイバーセキュリティは、巨大なリスクゲームのようなものです。組織はデータや企業システムに保護措置を講じ、悪意のある攻撃者はシステムに侵入する新しい方法を見つけます。企業は、攻撃者に先んじるために、手順や技術を定期的に評価する必要があります。あるいは、少なくとも、攻撃者が別の標的に移るほど、手順や技術を十分に困難なものにする必要があります。ポータルとネットワークは安全に保護され、バックアップを取らなければなりません。文書は、デジタルであれ物理的なものであれ、保護する必要があります。

サイバーセキュリティ保険は予算に組み込む必要があります。リスクを軽視して保険を省略したくなるかもしれませんが、保険料は侵害のコストに比べればごくわずかです。この保険は、法的費用や侵害対応コストの補償に役立ちます。顧客の喪失や労働者の生産性低下によるコストも補償される場合があります。Embrokerによると、2024年、企業はサイバー保険に年間平均1,200ドルから7,000ドルを費やし、中央値は年間約2,000ドルでした。⁶ 予想通り、サイバー保険の価格は変動しており、2022年にピークに達しました。それ以来、コストは減少傾向にあります。

もう1つの重要な戦略は、組織のセキュリティ監査です。倫理的な「ホワイトハット」ハッカーは、現在のシステムの脆弱性を確認するために侵入テストを実施し、ブラックハットハッカーに見つかる前にセキュリティの穴を見つけることができます。

最後に、組織がサイバーセキュリティへの投資の重要性を理解していることを確認してください。このような取り組みには、毎年投資を増やすための予算項目を設けるべきです。

現代のエレクトロニクスサプライチェーンの現実として、組織は、直面する脅威と同様に、世界中に広がっています。侵害は、時間、費用、評判、コンプライアンスリスクのコストとともに増加しており、今後もその傾向は続くでしょう。組織は、リスクに先んじて対応し、セキュリティに投資することを優先しなければなりません。注意を払うことで、OEMはサプライチェーンアプリケーションのメリットを活かし、可視性、回復力、リスク軽減を強化し、悪意のある攻撃者によるリスクを回避することができます。

リファレンス

1：https://www.cm-alliance.com/cybersecurity-blog/february-2025-major-cyber-attacks-ransomware-attacks-data-breaches

2：https://www.ransomware.live/group/sarcoma

3：https://cybersecurityventures.com/cybersecurity-in-2025-challenges-risks-and-what-leaders-must-do/

4：https://www.gartner.com/doc/reprints?id=1-2HZEKAMU&ct=240701&st=sb

5：https://www.ibm.com/reports/data-breach

6：https://www.embroker.com/blog/cyber-insurance-cost/