最近猛威を振るっている情報セキュリティ上の問題の一つにサービスサプライチェーン攻撃があります。企業から委託を受けてネットワークの管理や運用を行っている会社を侵害し、サービスを通じて顧客に被害を及ぼす事象です。

攻撃者はランサムウエア（単体のＰＣ等に忍び込み様々な悪さをするソフトウエア）を拡散させることが可能になるのです。実際に一つのサービス会社を起点に１５００社にも被害が及んでしまったケースもあります。

また、ビジネスサプライチェーン攻撃といって、大企業の組織の関連会社や子会社から取引先などを侵害し、業務上の繋がりを利用して標的組織へ攻撃されているものもあり、この攻撃方法は既に組織への侵入を行うためにすでに常套手段化されてしまっている部分もあります。

実際にトレンドマイクロ社のレポートによりますと、約１年前国内の自動車メーカーが保有する海外子会社にて2.8億円の資金流出が発生する事件があったそうです。

2023年6月に同社が、国内においてサイバー攻撃被害にあった５００人以上の組織の部長以上にアンケートしています。その結果、ビジネスメール詐欺は64％、ランサムウエア攻撃が35％に及びます。

被害額ではランサムウエアが1位であり、７０％が１千万円未満の被害であるものの、被害額の平均金額は５千万円を超えるデータとなっておりました。

また、ITサービス会社へのサイバー攻撃が行われてしまうと過去の事例から以下のことが想定されます。

・サービスを利用している利用社の通信情報の流出がおきた

・ユーザー向けのサービス利用停止が起きた

・ツールを利用していた会社それぞれの顧客情報漏洩がおきた

・サービスを利用している会社の業務が停止になった

ネットワークの管理や保守等を外部利用されている場合には、利用サービスの棚卸や責任範囲の確認、定期的な情報収集（監査的な）、サービス障害時を想定したプランの整備などを考慮して置く必要があります。

中小企業では、自社で中々システムの管理は出来ないので、セキュリティサービスの外部委託やいざという時のサイバー保険の検討等も考慮しておく必要があるのでしょう。

サイバーリスクに関わる損害保険商品等につきまして、ご相談があるようでしたら、グッドリンクまでお問合せ下さい。