サイバー攻撃の被害に遭いやすい组织の特徴は?2024年の最新调査から考察
昨今、一日あたり1.5件以上のサイバー攻撃被害が公表されています。そのため、セキュリティ担当者は日々サイバー攻撃の被害を悬念しており、不安を感じている状况です。本记事では、2024年の最新の调査から、被害に遭いやすい组织の倾向を解き明かし、必要な対策を提案します。
Save to Folio
「セキュリティ成熟度と被害の実態調査 2024」を実施
2024年9月、トレンドマイクロ株式会社は特定非営利法人の监修のもと、国内の法人组织(従业员500名以上)に勤める経営者、セキュリティやリスクマネジメントの责任者(部长职以上)300人を対象として「セキュリティ成熟度と被害の実態調査 2024」を実施しました。
本调査は过去3年以内にサイバー攻撃による被害を受けた法人组织を対象に実施しています。実际の被害を受けた公司がどのような特徴をもっているかを分析することで、多くの组织においてセキュリティの安全性を高めるために必要な施策や方针を明らかにすることを目的としています。
自社のサイバーセキュリティのレベルが十分かどうか、という命题は、训练やレッドチーム演习などを除けば、実际の被害が発生して初めて明らかになるものであり、その性质上セキュリティ担当者は常日顷、サイバー攻撃のリスク対応に苦心していると考えられます。
本记事では、そうしたセキュリティのレベルを示す成熟度や実际の被害规模の分析を通じて、より被害に遭いやすい组织の特徴を记载します。より详しい调査结果についてはレポートに取りまとめておりますので、そちらを参考ください。
セキュリティレベルの低い组织の特徴が明らかに
调査の回答者には、まず自社のセキュリティ成熟度を计测する设问を用意しました。セキュリティ成熟度の测定に関しては、狈滨厂罢のCyber Security Framework2.0(以下、颁厂贵)で定义されている6つの机能(统治、识别、防御、検知、対応、復旧)それぞれに、组织的な取り组みが実施されているかの设问(各机能について4~5问の计29问)を用意し段阶的に测定し、数値化しました。
上図に示した通り、组织が该当の対策を网罗的かつ标準化された手続きで行っており、より継続的に改善が実施されているほど、スコアが高まる仕组みになっています。
対策别の倾向
各设问の中身と回答者全体の平均スコアが下记の表になります。
全体の中で见れば【统治】机能に含まれるサプライヤーの评価やサプライヤーの管理?监督についての项目が相対的に低い倾向にありました。
この结果を见る限り、未だ多くの组织にとって社内でのセキュリティ対策に比べて外部サプライヤーへの働きかけが困难である可能性があります。
その理由として社内と异なり强制力が効きづらかったり、対象公司とのビジネス上の関係を踏まえて実行する必要があったり、组织によっては膨大な数の関係组织を有していることから、その対策が间に合っていないなどの状况が想定できます。
ただし、以前の记事でも绍介していますが、サプライチェーンに関连する组织がサイバー被害に遭った结果、二次被害を受ける事例が多数発生していることから、本対策の优先度について改めて検讨することを推奨します。
业种别の傾向
図:セキュリティ成熟度の「业种」别平均
(苍=300。うち成熟度に関するそれぞれの设问で「わからない」の回答者を除いて算出)
セキュリティ成熟度について、业种ごとの平均を表したものが上図です。特に「サービス」「製造」「小売り」の业界においてセキュリティ成熟度が低い倾向にありました。今回のセキュリティ成熟度が组织的に取り组まれているかと、定期的な改善が行われているかを判断材料としていることから、该当の业界においては、他の业界に比べセキュリティ対策がより属人的であったり、定期的な改善が行われていない可能性があります。
また、これらの业种において総じて復旧に関わる机能の成熟度が最も低いことから、実际に被害が起きた场合の復旧计画の设定や训练などの実施が他业种に比べて不十分である可能性も调査结果から伺えます。
参考记事:いざという時に慌てない!セキュリティエンジニアが知っておきたい『復旧宣言』の3条件 ~2024 Risk to Resilience World Tour Japanセッション紹介④
従业员规模别の倾向
図:セキュリティ成熟度の「従业员规模」别平均
(苍=300。うち成熟度に関するそれぞれの设问で「わからない」の回答者を除いて算出)
セキュリティ成熟度は従業員規模別でみた場合に大きい組織ほどセキュリティ成熟度が高い倾向にありました。通常、組織規模が大きいほど、組織内に保有されている資産やその業務の社会的影響が大きいことから、組織的に対策が行われていると考えられます。
逆に3,000人以下の组织においては、セキュリティ対策に取り组む组织体制や、対策状况の见直し手顺に改善の余地があることが伺えます。
被害度别の倾向
ここまでセキュリティ成熟度の高低に応じた特徴を记载してきましたが、果たしてセキュリティ対策が组织的に行われていたり、定期的に改善されているからと言って、実际に被害が少ないのか疑问に思う方もいるかもしれません。
调査では、セキュリティ成熟度の高低が実际の被害度合いと相関関係にあるかを调べるために、各组织のサイバー攻撃による「业务停止期间」についても设问を设け、回答を収集しています。その「业务停止期间」とセキュリティ成熟度の関係性を示すグラフが下记となります。
図:セキュリティ成熟度の「业务停止期间」别平均
(苍=300。うち成熟度に関するそれぞれの设问で「わからない」の回答者を除いて算出)
结果としてセキュリティの成熟度が低いほど、サイバー攻撃により生じる业务停止の时间が长くなる倾向が明らかになりました。この倾向は昨年の调査でも同様の结果が见られており、长期的な被害を避ける観点では、セキュリティ成熟度を指标として计测することに意义があることを示しています。
経営层のセキュリティへの関わり别の倾向
调査では、経営层のセキュリティへの関わり状况についても、数値的に测れるよう设问を用意しました。
具体的には下记4つの事项の実施状况について寻ねる设问を用意し、それぞれ「定期的に実施されている」(=2)「必要に応じて実施されている」(=1)「全く実施されていない」(=0)「わからない」(除外)の选択肢で回答を集计し、スコア化しました。
①「経営层のセキュリティ対策へのリーダーシップの主导」
②「経営层へのセキュリティ业务に関する报告」
③「経営会议でのセキュリティリスクの取扱い」
④「経営层からのセキュリティに関する予算等分配指示」
それぞれのスコアを选択した、组织のセキュリティ成熟度の平均を算出したグラフが下记となります。
図:セキュリティ成熟度の「経営层との関わり」别平均
(苍=300。うち成熟度または経営层の関わりに関するそれぞれの设问で「わからない」の回答者を除いて算出)
结果として経営层とセキュリティの関わりが大きい组织ほど、セキュリティ成熟度も高い倾向にありました。ここからセキュリティ成熟度の向上には、経営层のセキュリティへの积极的な関わりが大きな役割を果たすことが読み取れます。
また経営層とセキュリティの関わりのスコア(0~2で分布)の业种别平均値の分布傾向はセキュリティ成熟度の业种别平均値の分布傾向に類似しました。
図:経営層の関わりスコアの业种别平均値
(苍=300。うち経営层の関わりに関するそれぞれの设问で「わからない」の回答者を除いて算出)
セキュリティ成熟度向上に课题を抱える组织や业界においては、経営层が主体的にリーダーシップをとってセキュリティ体制を整备することが重要です。详细な方策は経済产业省が発行しているサイバーセキュリティ経営ガイドライン惫别谤3.0を参考に実施することができます。
组织はどのような対策をとるべきか?
セキュリティ成熟度を计测する
具体的な実施事项として、まずは全ての组织が自社のセキュリティ成熟度について把握することが重要です。ガイドラインに沿って网罗的に自社の実施状况を把握することで、自社の弱点がどこに存在しているか、他社と比べて十分な対策が実施できていないものはどれか、优先的に対処するべき点がなにか、などについて认识することができます。
セキュリティ成熟度を高める
自社のセキュリティ成熟度が低い点が见つかった组织、または全体的に成熟度を向上させたいと考えている组织は、状况を経営层に正确に伝えた上で、リーダーシップをとって対策を进めてもらうことによって、より効果的に组织全体への対策を进められることが调査结果からも伺えます。
また、セキュリティ成熟度を向上させる上での阻害要因についても调査を行っており、その対策が进まない原因の多くが昨年同様、セキュリティ人材の质?数の不足でした。
セキュリティの人材不足は以前からも频繁に叫ばれていますが、セキュリティ人材が増加するという根本的な解决は见込めない状况にあります。
そのため、人材确保に课题を抱える组织においては、础滨技术を駆使したセキュリティソリューションによる対応の自动化?省力化や専门のセキュリティ対応组织への外注を行うことなども选択肢の1つとして考虑していく必要があります。
また、人材确保以外にも胁威の高度化に回答が集まっている点にも注意が必要です。标的型攻撃などを始めとする高度な攻撃が展开されることで、以前まで有効だったセキュリティ対策がサイバー攻撃者に突破されてしまうケースがあります。
この点については、最新の胁威动向に知见のあるセキュリティの専门家をビジネス上のパートナーとして设定し、协力してセキュリティ対策を进めることで、日々様々に攻撃手法を変化?进化させてくる高度なサイバー攻撃集団に対する対応速度を早めることができます。
サプライチェーンリスクマネジメントの必要性
すでにセキュリティ成熟度が高い水準にある组织においても、より安全性を高める為にはサプライチェーンリスクの评価とリスクマネジメントが必要です。自社の安全性が高くとも、サプライヤーが侵害されることによって业务や情报の机密性に影响が生じる场合があります。
例えば、今回の调査では3000人以下の组织または「サービス」「製造」「小売り」业种のセキュリティ成熟度が相対的に低い倾向にありましたが、そうした组织が侵害された场合のシナリオを设定し、自社事业や委託している情报のセキュリティに対する影响を评価することは1つの现実的なシナリオと言えます。
リスク评価に际しては、协业もしくは委託している组织に関连する、自社の业务、システムやデータを棚卸し、ビジネス上の优先度を判断した上で、システムの停止や情报の漏洩が発生した际のリスクを评価します。
その上で、委託先で使用するシステムや提供しているデータやアクセス権限が、必要最低限のものに制限されているか、また委託先での运用手顺、セキュリティ体制を确认することで、リスクを低减することが可能です。
また経営层のセキュリティへの関わり状况について、报告を求め、场合によっては改善を求めることも今回の调査で示された有効な対応の1つと言えます。
多くのサイバーインシデント事例が示すように组织にとってのサイバー胁威は増加倾向にあります。今回の调査でも过去3年间で生じたサイバー攻撃の累计被害金额は1.7亿円であり、昨年の调査に比べて約1.4倍の金額となりました。
より安全なビジネスを継続的に行っていくためには、自社のセキュリティ状况の正确な把握と、优先度に応じた対応が求められています。
