- About live casino online
- プレスリリース
- 法人组织のアタックサーフェスに関するセキュリティ意识调査
―法人组织のアタックサーフェスに関するセキュリティ意识调査―
サイバー攻撃によるアタックサーフェスの多様化を悬念する法人组织は7割以上
2022年6月29日
トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長 兼 CEO:エバ?チェン 東証プライム:4704、以下、トレンドマイクロ)は、法人組織におけるIT部門と事業部門の意思決定者6,297名(日本を含む29の国と地域:6,297名、日本のみ:205名)を対象に「法人組織のアタックサーフェス(攻撃対象領域)※1に関するセキュリティ意识调査」を2022年4月に実施しました。调査结果の概要は以下の通りです※2。
※1 アタックサーフェス(攻撃対象領域)とは、サイバー攻撃を受ける可能性があるデバイスやソフトウェアを指します。パソコン、モバイル、IoTデバイス、サーバ、VPN機器、クラウドサービス、サプライチェーンを構成するサービスなどがあげられます。また、アタックサーフェス(攻撃対象領域)は侵入起点だけでなく、侵入後に踏み台となる機器や、重要資産が保存されているサーバなども含みます。
※2 調査結果のパーセンテージは、小数点第二位を四捨五入した数値です。そのため、個々の集計値の合計は必ずしも100とはならない場合があります。
?本调査に関するはこちら
「法人组织のアタックサーフェスに関するセキュリティ意识调査」結果概要
1.? ? アタックサーフェス(攻撃対象領域)が多様化することに懸念がある法人組織は7割以上
近年、リモートワークの広がりによるネットワークの分散化、クラウドの活用、デジタルデータの収集?解析を行う滨辞罢や础滨等を用いたシステム、サービスの导入など、事业を推进するために组织が新たに採用するデジタル资产は多様化しています。デジタル资产の多様化は、サイバー攻撃者にとっては、组织を攻撃するためのアタックサーフェス(攻撃対象领域)がより多様化することを意味します。アタックサーフェス(攻撃対象领域)の多様化は、组织のネットワークの侵害起点や侵入を拡大する领域を増やし、侵害経路を复雑化させます。
図1:多様化するアタックサーフェス(攻撃対象领域)
本调査では、アタックサーフェス(攻撃対象领域)が広がることへの悬念について「非常に悬念がある」「ある程度悬念がある」と回答した法人组织※3は73.3%、日本は71.7%でした。
※3 本調査は法人組織におけるIT部門と事業部門の意思決定者を対象としているため、所属組織が重複している可能性があります。
図2:「アタックサーフェス(攻撃対象领域)が広がることにどの程度悬念がありますか」(全体:苍=6,297、日本:苍=205)
「アタックサーフェス(攻撃対象领域)が明确に定义されている」と回答した法人组织は约半数(51.3%)でした。日本に限ると34.6%であり、29の国と地域中、28位の结果となりました。日本における回答者の多くが「アタックサーフェス(攻撃対象领域)を明确にすること」が困难であると感じている、もしくはサイバーリスクマネジメントの有効策のひとつとして认识されていない可能性があります。
図3:「贵社では、デジタルアタックサーフェス(攻撃対象领域)が明确に定义されていますか」(全体:苍=6,297、日本:苍=205)
?
図4:「贵社では、デジタルアタックサーフェス(攻撃対象领域)が明确に定义されていますか」(国と地域别のグラフ)
?
2.?? ?安全性に盲点があると答えた日本組織は約半数
「“当社のアタックサーフェス(攻撃対象领域)の安全性には、确実に盲点がある”に同意するか」という质问に対し「非常にそう思う」「そう思う」と答えた法人组织は61.8%、日本は45.9%でした。実际に、トレンドマイクロが日本国内で対応したサイバーインシデント※4では、VPNなどのネットワーク機器に脆弱性が残存していたことや、組織内の機器に意図せずGlobal IPが割り当てられていたことが原因となり、外部からの直接侵入を許してしまった事例を確認しています。組織は把握しているデジタル資産のセキュリティ設定が適切か定期的にチェックすることに加え、IT管理部門が把握していないIoTデバイスを社内ネットワークに接続することや、従業員が無許可でクラウドサービスを利用することなどによってもアタックサーフェス(攻撃対象領域)が拡大することになるため、ルール整備とあわせて、利用実態を調査し管理することが重要です。
※4 対象期間は2021年1月~2022年3月
図5:「当社のアタックサーフェス(攻撃対象领域)の安全性には、确実に盲点がある」にどの程度同意されるかをお答えください(全体:苍=6,297、日本:苍=205)
3.?? ?サイバーリスクの把握や管理が難しい理由は「定量化が難しい」から
デジタル资产が多様化し、サイバー攻撃が复雑化する昨今において、组织は重要资产を守るためにサイバーリスク评価を実施することが求められます。一方で「サイバーリスクの把握や管理が难しい理由」を寻ねる质问では、「定量化が难しい」という回答をする法人组织が全体で37.6%、日本に限った场合も37.6%で、最も选択率の高い回答となりました。
図6:「质问:サイバーリスクの把握や管理が难しい理由をお答えください(该当するものをすべて选択)」(全体:苍=6,297、日本:苍=205)
サイバーリスクは経営判断や事业方针にも影响し得る重要な管理対象リスクのひとつです。そのため、组织が晒されている胁威と组织のセキュリティ対策状况から、サイバーリスクを把握することが重要となります。一方でサイバーリスクは、无数に存在するものです。限られた予算の中で、组织にとって优先的に対応すべきサイバーリスクやとるべき対策は何なのかを决定する必要があります。
サイバーリスクの管理や评価を行う上で、有効な考え方のひとつは「攻撃シナリオに基づくリスク分析」です。これは例えば、ランサムウェアやアカウントリスト攻撃など特定の胁威が発生する场合に、初期侵入や侵入拡大をする际にどこがアタックサーフェス(攻撃対象领域)となるかを把握し、各领域における脆弱性※5を确认?评価することで、优先的に対策すべき脆弱性を决定する手法です。
※5 ここでいう脆弱性とは、理想の防御体制と現実の防御体制の差を指します。(最新版のOSにアップデートするべきだが、ビジネス上の都合で旧OSのまま運用しているなど)
事业を行う上でデジタル资产を活用することは避けては通れない昨今において、サイバー攻撃者から见た组织のアタックサーフェス(攻撃対象领域)の多様化はますます进んでいくことが想定されます。そのため、组织は重要资产を守り、継続的にビジネスを行うためにも、まずは攻撃対象となり得る领域を明确化し、优先的に対処すべき脆弱性を特定することが求められます。
<调査概要>
- 调査名:法人组织のアタックサーフェス(攻撃対象领域)に対するセキュリティ意识调査
- 実施时期:2022年4月
- 调査対象:従业员250名以上の法人组织の滨罢部门、事业部门の意思决定関与者6,297名
- 調査国: 29の国と地域(イギリス(201名)、ベルギー(206名)、チェコ(202名)、オランダ(202名)、スペイン(200名)、スウェーデン(200名)、ノルウェー(201名)、フィンランド(202名)、デンマーク(201名)、フランス(201名)、ドイツ(202名)、スイス(212名)、オーストリア(201名)、アメリカ(610名)、イタリア(202名)、カナダ(202名)、台湾(203名)、日本(205名)、シンガポール(202名)、オーストラリア(210名)、インド(205名)、ポーランド(201名)、香港(201名)、マレーシア(205名)、フィリピン(202名)、インドネシア(202名)、メキシコ(205名)、コロンビア(204名)、チリ(207名))
- 调査手法:オンライン调査
?
- 本リリースは2022年6月29日现在の情报をもとに作成されたものです。
- TREND MICRO、Securing Your Connected Worldは、トレンドマイクロ株式会社の登録商標です。各社の社名、製品名およびサービス名は、各社の商標または登録商標です。