Cohesity Japanは7月30日、日本企業におけるサイバーレジリエンスに関する調査結果を発表した。
これによると、調査対象企業では、サイバーレジリエンスの能力と成熟度を過大評価しており、その結果、事業や業務継続に大きな支障をきたし、身代金の支払いにつながっていることが明らかになった。
日本のITおよびセキュリティの意思決定者301人を対象に実施されたこの調査では、ランサムウェアなどのサイバー攻撃が広く流行していることが確認され、回答者の大多数が「過去6カ月間にランサムウェアの被害を受け」「ほとんどの回答者が過去1年間に身代金を支払った」と回答した。
さらにほとんどの回答者は、「2023年と比較して2024年には、各々の企業が属する産業分野に対するサイバー攻撃の脅威が増加した、または増加するだろう」と回答した。
調査結果によると、回答者の76%が、自社のサイバーレジリエンス戦略と「昨今のエスカレートするサイバー課題と脅威に対処する」能力に自信を持っていると回答しており、企業のサイバーレジリエンス戦略は、悪化するサイバー脅威の状況に対処できていることが明らかになっている。
同時に、回答者の71%が2024年に「ランサムウェア攻撃の被害者になった」、また98%が「今年、自社の業界に対するサイバー攻撃の脅威が増加するだろう、またはすでに増加している」「77%が2023年と比較して50%以上増加するだろう」と回答した。
組織が「支払わない」ポリシーを覆し
身代金を支払うケースも
回答者の大多数が、自社のサイバーレジリエンス戦略に「ほぼ自信がある」または「完璧に自信がある」と回答したにもかかわらず、その79%は、「データの復旧とビジネスプロセスの復元、またはその迅速化のために身代金を支払う」と回答し、「支払わない」と回答したのはわずか12%であった。「身代金の金額によっては支払うかもしれない」と回答したのは9%。 実際、回答者の77%は、「データの復旧とビジネスプロセスの回復のためなら身代金100万米ドル以上を支払ってもよい」と回答し、24%は「500万米ドル以上を支払ってもよい」と回答している。
回答者の70%は「調査前の過去1年間に身代金を支払ったことがある」と回答している。その一方で、85%が『社において身代金を支払わない』ポリシーがある」と回答している。過去1年間に代金を支払ったことのある回答者210人は、合計 で以下の金額の身代金 を支払ったと回答しています。
・36%が1~39,700,000円/1~249,999米ドルの身代金を支払った
・26%が39,700,110~79,400,000円/250,000~499,999米ドルの身代金を支払った
・20% が79,400,000~158,800,000円/500,000~999,999米ドルの身代金を支払った
・3%が476,500,000~794,400,000円/1,000,000~2,999,999米ドルの身代金を支払った
・1%が794,400,000~1,588,800,000円/3,000,000~9,999,999米ドルの身代金を支払った
組織のサイバーレジリエンスに対する自信は
復旧・復元のスピードと比例しない
サイバーレジリエンスとは、組織がサイバー攻撃を受けた際に、データを復旧し、ビジネスプロセスを復元する能力を定義するものである。しかし日本の回答者によれば、サイバーレジリエンスは依然として事業継続を脅かす課題であるとされている。
・24時間以内にデータを復旧し、ビジネスプロセスを復元できると回答したのはわずか2%
・13%が、1~3日以内にデータを復旧し、ビジネスプロセスを復元できると回答
・28%が4~6日で回復および復元できると回答した一方、37%は1~2週間を要すると回答
・17%はデータ復旧とビジネスプロセスの復元に3週間以上を必要としている
対照的に、「サイバー攻撃や侵害事件が発生した場合に、ビジネスへの影響を最小限に抑えるために目標とする最適な復旧時間(RTO)」について尋ねたところ、回答者の95%が「目標は1日以内」と回答したが、実際に「同じ期間内にデータを復旧し、ビジネスプロセスを復元できた」と回答したのはわずか2%であった。特に注目すべきは、38%が「目標とする最適なRTOは2時間以内である」と回答したことである。
顧客や消費者は、事業やサービスの一貫した継続性を期待しており、そのためには効果的なサイバーレジリエンスが不可欠である。しかし、サイバー攻撃やデータ漏洩による事業継続の中断やダウンタイムに対する組織における許容範囲が24時間以内と回答した回答者は、わずか0.33%であった。
実際、日本の回答者の32%が「ダウンタイムの許容範囲は1?3日以内」、54%が「4?6日」、10%が「1週間以上」と回答している。興味深いことに、回答者の45%が、「過去6カ月間にサイバーイベントやデータ漏洩への対応をシミュレーションすることで、データセキュリティ、データ管理、データ復旧のプロセスやソリューション」をストレステストしたと回答している。
ゼロトラストセキュリティとデータプライバシーは
依然として課題となっている
異常を検知し、機密データの暴露や侵害を判断するために「ITとセキュリティ間で重要データを一元的に可視化」していると回答したのはわずか38%であった。
また、ゼロトラストセキュリティの原則に沿ったデータアクセス制御対策について尋ねたところ、日本では、多要素認証、複数の承認を必要とするQuorumまたは管理ルール、役割ベースのアクセス制御を導入している組織は半数も満たしていなかった。
多要素認証 (MFA):48%
役割ベースのアクセス制御 (RBAC):45%
定足数管理または複数の承認を必要とする管理規則:38%
政府や公的機関が、より強固なサイバーセキュリティ、データ保護、データプライバシー対策を徹底して奨励しているにもかかわらず、全回答者のうち、「機密データを特定し、適用されるデータプライバシー法や規制を遵守するためのIT・セキュリティテクノロジー能力をすべて備えている」と回答したのは、わずか36%にすぎない。
しかし、回答者の80%は、「高度な脅威検知、データ分離、データ分類は、サイバー保険の加入資格やサイバー保険契約の割引を確保するために不可欠である」とも回答している。
「サイバー攻撃の影響を最も受けていると思う業界・業種があれば教えてください」という質問に対して、回答者は日本で最も影響を受けている「トップ7」4の業界・業種として、以下のように回答した。
1 IT、テクノロジー 32%
2 金融サービス(保険会社を含む) 27%
3 通信、メディア(ストリーミングサービスなど) 24%
4 銀行、資産管理 24%
5 政府、公共サービス 24%
6 製造業 23%
7 公益事業 (水道、電気、ガス、その他エネルギーサービス会社など) 22%
深刻化するサイバー脅威を管理するための
AIの利点と課題
回答者の企業では現在、77%以上が、過去1年以内にAIベースと思われる攻撃や脅威に対応した経験があるなど、AIベースのサイバー攻撃やサイバー脅威に対抗することが求められている。
そのうち、「はい」と答えた回答者の81%は「これらの攻撃に対抗し、対応するために必要なAIを活用したソリューションを持っている」と回答した。
「過去1年間にAIを利用したサイバー攻撃やサイバー脅威に対応したことがない」と回答した18%のうち、36%は「これらの攻撃に対抗し対応するために必要なAIを利用したソリューション を持っている」と回答、 47%は「持っていない」と回答、17%は「わからない」と回答した。
[i Magazine・IS magazine]