増大するサイバーセキュリティインシデントに組織がどのように対処・対策しているかに加え、そこから得られたさまざまな成果を詳しく分析しています。
その結果、現実にはサイバー攻撃が増大しているのにも関わらず、大半の組織がサイバーセキュリティ脅威に対処するための準備が十分でないと考えていることが分かりました。
調査目的と方法
「未来を守る:アジア太平洋地域サイバーセキュリティ調査」と題した同調査は、アジア太平洋地域で、最高情報セキュリティ責任者(CISO)やそのチームが直面している脅威の状況を把握し、有益な結果につながる行動を深く理解することを目的としています。対象となったのは、同地域の14市場(日本・中国・香港特別行政区・インド・ベトナムなど)を拠点に、IT・テクノロジー、金融サービス、ヘルスケア、教育などの事業を展開する多様な企業・組織。
小規模(従業員150~999人)、中規模(従業員1,000~2,500人)、大規模(従業員2,501人以上)の組織のサイバーセキュリティ関連の意思決定者およびリーダー4,009名を回答者とし、2023年7月にオンラインで実施しました。
約8割が1年以内にインシデントを経験、被害額は甚大
同調査では、全体の78%が、過去12か月の間に1回はサイバーセキュリティインシデントを経験したと回答。そのうち80%が、4回以上のインシデントが発生したと回答しました。また、インシデントの数が10回以上と答えた回答者は半数におよび、今後12か月間にインシデントが増大すると見込んでいる回答者は72%でした。
さらに、全体の約63%が、サイバーセキュリティインシデントによる自社への財務的影響が過去12か月で100万ドルを超えたと報告。そのうちの14%に至っては、被害額が300万ドルを超えていたことが判明しています。
多様化するサイバー攻撃、それ防ぐための課題
同調査の回答者は、過去12か月間にWeb攻撃、フィッシング攻撃、分散サービス妨害(DDoS)攻撃、内部脅威、資格情報の盗難などの被害を報告しました。また、攻撃者の目的として最も多く指摘したのはスパイウェアの埋め込みで、金銭的な利益、データ流出、ランサムウェアなどが続いています。
そして、最も差し迫った課題は、ハイブリッド勤務の社員の保護(51%)、サイバー攻撃への防御(48%)、ゼロトラストの導入(42%)の3つ。
加えて、サイバーセキュリティ人材不足という課題や規制措置に対する不安も浮かび上がりました。
ソリューションの数と強度は必ずしも比例せず
回答者のほとんどが現在のサイバーセキュリティアーキテクチャに6~15の製品を使用していると回答した一方、組織の規模が大きくなるほど、使用する製品数は20以上に増えることが分かりました。しかし、ソリューションの数が増えるほど、効率性に何らかのマイナスの影響をおよぼすことから、ソリューションの数を減らすべきであると示唆されています。
調査結果によると、使用するソリューションの数が15未満の組織のうち、10回以上のサイバーセキュリティインシデントを経験したのは39%のみ。ところが、使用するソリューションが15以上の組織では、10回以上のサイバーセキュリティインシデントにあった割合が73%と多くなっています。
また、12時間以内にインシデントを解決できた割合は、ソリューション数が15未満の組織では80%であったのに対し、ソリューション数が15以上の組織では65%に留まりました。
サイバーセキュリティにかける予算について
同調査の回答者の53%は、過去12か月で組織のIT予算の11~20%をサイバーセキュリティに割り当てたと述べ、28%はIT予算全体の20%以上を費やしたと回答しました。サイバーセキュリティ関連に最も多くの資金を費やしたのは、ヘルスケア、輸送、金融の各業界。一方、教育、ゲーム、政府機関、製造などの業界では支出が少ない傾向でした。
今後の計画としては、回答者全体の67%が12か月の間にサイバーセキュリティ関連の予算を増やすと回答し、現在の支出額を維持すると回答したのは22%でした。
日本の企業・組織にフォーカスした分析結果
日本の回答者のうち、過去12か月の間に少なくとも1件のサイバーセキュリティインシデントを経験したのは81%、10件以上と回答したのは60%となりました。インシデントとして多く報告されたのは、マルウェア(53%)、ビジネスメール詐欺(48%)、ランサムウェア・スパイウェア(43%)。業界としては、メディア・電気通信、ビジネス・プロフェッショナルサービス、金融サービスでのインシデントが多かったようです。
しかし、インシデントを回避するために「十分な対策を講じている」と回答したのは46%。回答者の71%は、過去12か月間に少なくとも100万ドルの財務的影響を受け、54%が少なくとも200万ドルの財務的影響を受けたと報告しています。
また、財務への影響のほか、顧客データの損失(66%)、知的財産の損失(65%)、社員情報の損失(62%)といった被害が挙げられました。
日本の回答者の53%は、組織のIT予算全体の16%~25%がサイバーセキュリティ対策に割り当てられていると回答しましたが、サイバーセキュリティ対策に関して直面している最大の課題は人材不足であるという回答が72%に上りました。
参考元:https://prtimes.jp/main/html/rd/p/000000050.000061678.html
調査レポート「未来を守る:アジア太平洋地域サイバーセキュリティ調査」詳細:https://www.cloudflare.com/en-gb/lp/2023apjcsurvey/download/
(文・Higuchi)