SecurityScorecard株式会社 ( https://securityscorecard.com/jp/
) (本社:米国、ニューヨーク州、CEO:アレクサンドル・ヤンポルスキー、以下SecurityScorecard、日本法人代表取締役社長 藤本 大)は、フィンテック企業におけるサイバーリスク評価に関する最新レポート「金融サプライチェーンを防御:主要フィンテック企業の強みと脆弱性 ( https://securityscorecard.com/research/defending-the-financial-supply-chain/
) 」(英語のみ)を発表しました。本レポートでは、世界の主要なフィンテック企業250社を対象にサイバーセキュリティ体制を分析し、確認された侵害の41.8%がサードパーティベンダーに起因することが判明しました。
SecurityScorecardのSTRIKE脅威調査・インテリジェンス部門担当SVP、ライアン・シャーストビトフは、次のように述べています。
「フィンテック企業は世界の金融の中核を担っており、ベンダー1社の脆弱性が原因となり、業界全体の重要なインフラに大きな影響を及ぼす可能性があります。こうしたサードパーティを起因にした侵害は例外ではなく、構造的なリスクを示しています。フィンテック企業においては、これは決済システム、デジタル資産プラットフォーム、そして金融基幹インフラ全体にわたる運用停止を意味します」
主な調査結果:
調査対象の全業界の中で、フィンテック企業は最も高いセキュリティスコア(中央値90)を記録、55.6 %が評価「A」を獲得
侵害を公表している企業の18.4%がフィンテック企業、そのうち、28.2%は複数回のインシデントを経験
侵害を経験した企業の41.8%はサードパーティ、11.9%はフォースパーティに由来(世界平均の2倍以上)、サードパーティが要因の侵害の63.9%はテクノロジー製品とサービスが関与、主な侵入経路はファイル転送サービスとクラウドストレージ
最も多く確認された脆弱性は、「アプリケーションセキュリティ」と「 DNSヘルス」、 全体の46.4%は「アプリケーションセキュリティ」で最低スコア
フィンテック企業向けサイバーセキュリティ推奨事項
本分析に基づき、SecurityScorecard STRIKE チームは、フィンテックエコシステム全体のサイバーセキュリティ強化に向けて次の推奨事項を提示しています。
サード/フォースパーティリスクの管理強化:支出額や業務重要度だけでなく、過去の侵害履歴に基づいて分類し、契約書にインシデント報告義務を盛り込むことで連鎖的リスクを軽減
共有インフラの安全性確保:特にファイル転送サービス、クラウドストレージ、顧客コミュニケーションツールは、サードパーティ起因の侵害の主な侵入経路。これらの安全性を定期的に監査し、パートナー企業に対して安全な実装手順の実証を求めるべき
アプリケーションセキュリティとDNSの対策強化:フィンテック企業のほぼ半数がアプリケーションセキュリティのスコアで最低スコアを記録。安全でないリダイレクトストレージの誤設定、SPFレコードの未整備など基本的な不備を早急に是正し、特に顧客向けアプリケーションの保護を優先すべき
認証情報保護の徹底:クレデンシャルスタッフィング攻撃やタイポスクワッティング攻撃は、多くの企業に被害をもたらしました。ユーザーを保護し、クロスプラットフォームの侵害を防ぐには多要素認証(MFA)の適用、認証情報の再利用の監視、なりすましドメインの早期削除が不可欠
繰り返される侵害への対応強化:複数回の侵害を経験したベンダーの新規契約および契約更新時に厳格な審査を推奨
調査方法
本レポートは、グローバルな展開、業界への影響力、事業規模に基準に選定された主要フィンテック企業250社のサイバーセキュリティ体制を評価しています。対象企業は、決済、デジタル資産、ネオバンキング、ファイナンシャルプランニング、インフラプロバイダーなど、幅広い金融テクノロジー分野にわたっています。
その他のリソース
2025年フィンテック企業に関するサイバーリスク評価レポート「金融サプライチェーンの防御:主要フィンテック企業の強みと脆弱性 ( https://securityscorecard.com/research/defending-the-financial-supply-chain/
) 」(英語のみ)
SecurityScorecardについて
Evolution Equity Partners、Silver Lake Partners、Sequoia Capital、GV、Riverwood Capitalなど、世界トップクラスの投資家から出資を受けたSecurityScorecardは、サイバーセキュリティ レーティングにおけるグローバルリーダーであり、Supply Chain Detection and Response(SCDR・サプライチェーンにおける検知・対応)ソリューションのパイオニアです。
セキュリティとリスクの専門家であるアレクサンドル・ヤンポルスキー博士とサム・カッスーメによって2013年に設立されたSecurityScorecardの特許取得済みセキュリティレーティングテクノロジーは、企業のリスク管理、サードパーティリスク管理、取締役会報告、デューデリジェンス、サイバー保険の引き受け、規制当局の監視のために25,000以上の組織で使用されています。
SecurityScorecardは、企業におけるサイバーセキュリティ・リスクの理解、改善を促進し、取締役会、従業員、ベンダーに伝える方法を変革することで、世界をより安全にすることを目指します。https://jp.securityscorecard.com/
日本法人社名 : SecurityScorecard株式会社(セキュリティスコアカード)
本社所在地 : 東京都千代田区丸の内一丁目 1 番 3 号
代表取締役社長 : 藤本 大
本件に関するお問合わせ先
【本件に関する連絡先】
SecurityScorecard
広報代理店 株式会社プラップジャパン
担当: 菊池(080-6628-9424)、牟田(090-4845-9689)、冨安(070-2161-6963)
Email: securityscorecard@prap.co.jp
) (本社:米国、ニューヨーク州、CEO:アレクサンドル・ヤンポルスキー、以下SecurityScorecard、日本法人代表取締役社長 藤本 大)は、フィンテック企業におけるサイバーリスク評価に関する最新レポート「金融サプライチェーンを防御:主要フィンテック企業の強みと脆弱性 ( https://securityscorecard.com/research/defending-the-financial-supply-chain/
) 」(英語のみ)を発表しました。本レポートでは、世界の主要なフィンテック企業250社を対象にサイバーセキュリティ体制を分析し、確認された侵害の41.8%がサードパーティベンダーに起因することが判明しました。
また、強固な内部統制と外部のサプライチェーンリスクとの間で乖離が拡大していることも明らかになっています。
SecurityScorecardのSTRIKE脅威調査・インテリジェンス部門担当SVP、ライアン・シャーストビトフは、次のように述べています。
「フィンテック企業は世界の金融の中核を担っており、ベンダー1社の脆弱性が原因となり、業界全体の重要なインフラに大きな影響を及ぼす可能性があります。こうしたサードパーティを起因にした侵害は例外ではなく、構造的なリスクを示しています。フィンテック企業においては、これは決済システム、デジタル資産プラットフォーム、そして金融基幹インフラ全体にわたる運用停止を意味します」
主な調査結果:
調査対象の全業界の中で、フィンテック企業は最も高いセキュリティスコア(中央値90)を記録、55.6 %が評価「A」を獲得
侵害を公表している企業の18.4%がフィンテック企業、そのうち、28.2%は複数回のインシデントを経験
侵害を経験した企業の41.8%はサードパーティ、11.9%はフォースパーティに由来(世界平均の2倍以上)、サードパーティが要因の侵害の63.9%はテクノロジー製品とサービスが関与、主な侵入経路はファイル転送サービスとクラウドストレージ
最も多く確認された脆弱性は、「アプリケーションセキュリティ」と「 DNSヘルス」、 全体の46.4%は「アプリケーションセキュリティ」で最低スコア
フィンテック企業向けサイバーセキュリティ推奨事項
本分析に基づき、SecurityScorecard STRIKE チームは、フィンテックエコシステム全体のサイバーセキュリティ強化に向けて次の推奨事項を提示しています。
サード/フォースパーティリスクの管理強化:支出額や業務重要度だけでなく、過去の侵害履歴に基づいて分類し、契約書にインシデント報告義務を盛り込むことで連鎖的リスクを軽減
共有インフラの安全性確保:特にファイル転送サービス、クラウドストレージ、顧客コミュニケーションツールは、サードパーティ起因の侵害の主な侵入経路。これらの安全性を定期的に監査し、パートナー企業に対して安全な実装手順の実証を求めるべき
アプリケーションセキュリティとDNSの対策強化:フィンテック企業のほぼ半数がアプリケーションセキュリティのスコアで最低スコアを記録。安全でないリダイレクトストレージの誤設定、SPFレコードの未整備など基本的な不備を早急に是正し、特に顧客向けアプリケーションの保護を優先すべき
認証情報保護の徹底:クレデンシャルスタッフィング攻撃やタイポスクワッティング攻撃は、多くの企業に被害をもたらしました。ユーザーを保護し、クロスプラットフォームの侵害を防ぐには多要素認証(MFA)の適用、認証情報の再利用の監視、なりすましドメインの早期削除が不可欠
繰り返される侵害への対応強化:複数回の侵害を経験したベンダーの新規契約および契約更新時に厳格な審査を推奨
調査方法
本レポートは、グローバルな展開、業界への影響力、事業規模に基準に選定された主要フィンテック企業250社のサイバーセキュリティ体制を評価しています。対象企業は、決済、デジタル資産、ネオバンキング、ファイナンシャルプランニング、インフラプロバイダーなど、幅広い金融テクノロジー分野にわたっています。
その他のリソース
2025年フィンテック企業に関するサイバーリスク評価レポート「金融サプライチェーンの防御:主要フィンテック企業の強みと脆弱性 ( https://securityscorecard.com/research/defending-the-financial-supply-chain/
) 」(英語のみ)
SecurityScorecardについて
Evolution Equity Partners、Silver Lake Partners、Sequoia Capital、GV、Riverwood Capitalなど、世界トップクラスの投資家から出資を受けたSecurityScorecardは、サイバーセキュリティ レーティングにおけるグローバルリーダーであり、Supply Chain Detection and Response(SCDR・サプライチェーンにおける検知・対応)ソリューションのパイオニアです。
セキュリティとリスクの専門家であるアレクサンドル・ヤンポルスキー博士とサム・カッスーメによって2013年に設立されたSecurityScorecardの特許取得済みセキュリティレーティングテクノロジーは、企業のリスク管理、サードパーティリスク管理、取締役会報告、デューデリジェンス、サイバー保険の引き受け、規制当局の監視のために25,000以上の組織で使用されています。
SecurityScorecardは、企業におけるサイバーセキュリティ・リスクの理解、改善を促進し、取締役会、従業員、ベンダーに伝える方法を変革することで、世界をより安全にすることを目指します。https://jp.securityscorecard.com/
日本法人社名 : SecurityScorecard株式会社(セキュリティスコアカード)
本社所在地 : 東京都千代田区丸の内一丁目 1 番 3 号
代表取締役社長 : 藤本 大
本件に関するお問合わせ先
【本件に関する連絡先】
SecurityScorecard
広報代理店 株式会社プラップジャパン
担当: 菊池(080-6628-9424)、牟田(090-4845-9689)、冨安(070-2161-6963)
Email: securityscorecard@prap.co.jp
編集部おすすめ
