SecurityScorecard、米国エネルギー業界のサイバーセキュリティリスク調査レポートを発表

本調査レポートによると、エネルギー業界が頻繁に被害を被る脅威として、従来のITシステムに対するランサムウェア攻撃などエネルギー業界全般にわたり広範な混乱を引き起こすことが指摘されています。特に、産業用制御システム （ICS） とオペレーショナルテクノロジー（OT） への潜在的な攻撃に注目が集まっています。これらは引き続きリスク軽減の焦点となります。しかし、よりクリーンなエネルギーへの移行が加速する中、ソフトウエアへの依存が増加し、エネルギー業界の脆弱性も増大する可能性があります。

SecurityScorecard 脅威調査およびインテリジェンス担当上級副社長のライアン・シェルストビトフ氏は、次のように述べています。
「エネルギー業界のサードパーティベンダーへの依存度が高まっていることは、重大な脆弱性を示しています。私たちの調査によると、この依存度の高まりが大きなリスクをもたらすと予想されます。国家的な侵害という緊急事態に発展する前に、業界は断固たる行動を取り、サイバーセキュリティ対策を強化する時です」

主な調査結果

エネルギー業界における高いサードパーティリスク:エネルギー業界の侵害のほぼ半数 (45%) はサードパーティリスクに起因しており、世界全体の 29% を大幅に上回っています。複数の侵害を受けた企業の 90% は、サードパーティ ベンダー起因の被害を受けています。
米国エネルギー業界のサイバーセキュリティ評価は「B」:SecurityScorecard の評価方法 ( https://securityscorecard.com/wp-content/uploads/2024/01/EBOOK-MethodologyDeepDive-3.0_v2-1.pdf
) に基づくと、米国エネルギー業界は平均して「B」評価を受けており、81%の企業 が 「A」または「B」評価である一方、残りの 19%の企業は低評価となっており、 サプライ チェーン全体に重大なリスクをもたらしかねません。
サードパーティに起因した侵害はソフトウェアおよび IT ベンダーが起源:サードパーティに起因した侵害の主な起源はエネルギー業界外のソフトウェアおよび IT ベンダーです。サードパーティに起因した侵害の 67% はソフトウェアおよび IT ベンダーが起源となっており、他のエネルギー企業が関与していた侵害はわずか 4 件でした。
再生可能エネルギー企業はサイバーセキュリティ体制に遅れ:石油・天然ガス企業は平均を大きく上回る「A」評価である一方、再生可能エネルギー企業は「B」評価とサイバーセキュリティ対策の体制整備において遅れをとっています。
脆弱性は特定のリスクに集中:92% の企業は、10 のリスク要因のうち 3 つ（アプリケーションセキュリティ40%、ネットワークセキュリティ23%、DNS健康度29%）で最も低い評価となっています。