Trellix、経営層とセキュリティの意思決定者の情報セキュリティに関する意識調査結果(2023年6月版)を発表
データ侵害(情報漏えい)は78.4%、ランサムウェア攻撃は46.9%が直近1年に経験
【画像:https://kyodonewsprwire.jp/img/202306196423-O1-2kkWiwys】
XDR(eXtended Detection and Response)の未来を提供するサイバーセキュリティ企業、Trellix(トレリックス)は、日本国内の企業・団体の経営層、また組織のセキュリティの意思決定に関与するビジネスパーソン(いずれも従業員数500人を超える組織)を対象に、組織の情報セキュリティに関する調査を、Webアンケート方式で実施(2023年5月)し、調査結果を発表しました。
ニュースハイライト
・インシデントの実態:過去1年のデータ侵害(情報漏えい)は78.4%が経験。侵害の内容は「ランサムウェア攻撃」が最多で46.9%が経験したと回答
・懸念するサイバー脅威:「ランサムウェア攻撃」が最多(32.8%)となり、「フィッシングおよびスピアフィッシング攻撃」「従業員によるセキュリティ事故」「クラウドサービスを起因とする脅威」が上位
・セキュリティ運用上の課題と優先対応事項:運用上の課題の最多は「スキルのある人材の不足」。優先的に取り組むべき事項は「高度なセキュリティ人材の育成」が最多(26.8%)
・セキュリティ関連予算:今年度予算(2023年度)は昨年度対比で35.9%の組織が増額
・内部不正対策:対策を「開始した」「準備・検討中」と回答した組織が83.2%
調査を通じて、国内企業・団体のサイバーセキュリティに関する実状、データ侵害や攻撃を受けたことによる金銭的損失といったサイバーインシデントの実態や、セキュリティ予算の状況等を明らかにしました。また、昨年数多く報道されたインシデントに関連し、内部不正への対策を調査項目に加え、その意識実態についても言及しています。
顕著な結果として、直近1年以内に被害を受けたサイバーインシデントとして、「ランサムウェア攻撃」が46.9%、「Eメール攻撃」は41.8%と回答が得られ、昨年の調査に引き続き、多くの企業・団体が実際に対応を余儀なくされていることがわかりました。懸念する脅威としても、「ランサムウェア」が最多となり、経営課題としての優先順位が高いことが改めて確認されました。その他、企業のセキュリティ運用上の課題と優先対応すべき事項として、セキュリティ人材に関連する内容が最多となったこと、またセキュリティ関連予算の確保が継続されていることも明らかとなりました。なお、2022年4月に実施した同様の趣旨の調査結果を一部引用し比較しています(以降、「前回調査」と表記)。*
サイバーセキュリティ インシデントの発生状況
・データ侵害(情報漏えい)の最新実態
過去1年間のデータ侵害(情報漏えい)の有無では、78.4%の組織が何らかのインシデントを経験していることがわかりました(図1)。
「経験あり」と回答した組織のうち、データ侵害の原因については、「ランサムウェア攻撃」が最多で46.9%。次いで「Eメール(41.8%)」、「脆弱性を突かれ侵入(38.3%)」となりました。「内部者(退職者含む)の持ち出し」についても3割が選択しており、さまざまな経路からデータ侵害に至っていることが考えられます(図2)。
データ侵害による金銭的な損失の合計額については、「500万円~1,000万円未満」が最多の22.7%、およそ6割が1,000万円未満という結果でした(図3)。一方、「1億円~5億円未満」「5億円以上」との回答者は全体で11.6%、特に10,000人以上の組織では26.5%にのぼります。また10,000人以上の組織の20%超が5億円以上の損失と回答しており、相当規模の損失が発生していることがうかがえる結果となりました(図4)。
【図1 過去1年、データ侵害(情報漏えい)経験有無(単一回答,n=250)】
【画像:https://kyodonewsprwire.jp/img/202306196423-O2-X69RkSD2】
【図2 過去1年、データ侵害(情報漏えい)「経験あり」回答の内訳(複数回答,n=196)】
【画像:https://kyodonewsprwire.jp/img/202306196423-O3-lGz1WSgG】
【図3 過去1年、データ侵害(情報漏えい)による金銭的な損失の合計額(単一回答,n=250)】
【画像:https://kyodonewsprwire.jp/img/202306196423-O4-r24PCjO7】
【図4 組織規模別 過去1年、データ侵害(情報漏えい)による金銭的な損失の合計額(単一回答,n=250)】
【画像:https://kyodonewsprwire.jp/img/202306196423-O5-f2KYJL0q】
今後1年で発生すると考えられるサイバー脅威
今後1年で自組織に発生すると考えられる脅威について、「ランサムウェア攻撃(32.8%)」「フィッシングおよびスピアフィッシング攻撃(24.0%)」「従業員によるセキュリティ事故(22.4%)」「クラウドサービスを起因とする脅威(22.4%)」が上位3項目でした(図5)。近年多くの組織がランサムウェア攻撃を受け、甚大な被害やビジネスへの影響について大きく報道されていることから、経営層、セキュリティに携わる方々にとって最大の懸念事項であることが推察されます。
【図5 今後1年、あなたの所属する会社・団体で発生すると考えられるサイバー脅威(複数回答,n=250)】
【画像:https://kyodonewsprwire.jp/img/202306196423-O6-9xulJ84P】
・セキュリティ運用上の課題と、今後の優先事項
「導入中/導入済」と回答したセキュリティ製品・サービスの数について、53.4%が11個以上の製品・サービスを導入。また、21個以上導入との回答は24.2%でした(図6)。10,000人以上の組織では「31個以上」との回答が最多の27.3%となり、組織規模の拡大に比例し導入製品・サービスの数も増加するといった傾向も明らかになりました(図7)。
運用上の課題としては、「スキルのある人材の不足(単一回答 15.3%/複数回答 28.0%)」が単一/複数の各回答いずれも最多となり、単一回答では、次いで「高度な脅威の検知と対応(単一回答 10.2%/複数回答 24.2%)」、「脅威に関するインテリジェンスや、直近の攻撃傾向に関する知見の欠乏(単一回答 9.6%/複数回答 20.4%)」が続きました。複数回答では「攻撃対象が拡大している(単一回答 8.3%/複数回答 21.7%)」をはじめ、選択肢15項目中9項目が20%を超えて選択される結果となりました。このことから、組織が直面する課題が多様化している実態がうかがえます(図8)。
セキュリティにおいて今後優先すべき事項としては、「高度なセキュリティ人材の育成」が26.8%でトップ、上述の課題の上位項目と整合する結果となりました。続いて「従業員・職員のサイバーセキュリティ意識向上(23.6%)」、そして「セキュリティソリューション/業務の集約/効率化(19.6%)」が続き上位3項目となりました(図9)。なお、これらに次いで「リモートワークのためのソリューション整備(19.2%)」となり、次項の「セキュリティ関連予算の前年度との比較」の予算増加の背景と関連する結果となりました。
【図6 導入中/導入済のセキュリティ製品・サービスの数(単一回答,n=161)】
【画像:https://kyodonewsprwire.jp/img/202306196423-O7-l7fVh4sS】
【図7 組織規模別 導入中/導入済のセキュリティ製品・サービスの数(単一回答,n=161)】
【画像:https://kyodonewsprwire.jp/img/202306196423-O8-P4w6tz6b】
【図8 情報セキュリティ運用上の課題(上位3つまで複数回答/最上位1つを単一回答,n=157)】
【画像:https://kyodonewsprwire.jp/img/202306196423-O9-07pzsx58】
【図9 あなたの所属する会社・団体で優先すべきと考える事項(複数回答,n=250)】
【画像:https://kyodonewsprwire.jp/img/202306196423-O10-397l7yX8】
セキュリティ関連予算の前年度との比較
今年度(2023年度)予算額の前年度からの変化について、「増えた」「やや増えた」が計35.9%で、前回調査(42.8%)から減少したものの、「変わらない」まで含めると、81.6%の組織が前年同等またはそれ以上の投資をしています(図10)。景気低迷が続くなかにおいても、セキュリティの重要性を背景に、投資を維持、継続しているものと考えられます。
「増えた」「やや増えた」とする背景や理由については、「新型コロナ感染症の影響への対応(テレワークへ対応する環境整備など)(51.2%)」が最多、次いで前回調査で最多の「DXの推進」(47.6%)が続きました(図11)。新型コロナウイルス感染症の5類感染症移行後、オフィス出社率が上昇すると想定されますが、引き続きリモートワークへの対応に伴うセキュリティへ投資が行われていることが明らかとなり、一方でDXや業務のデジタル化への投資は落ち着いたものと考えられる結果となりました。
【図10 セキュリティ対策関連予算額(単一回答)】
【画像:https://kyodonewsprwire.jp/img/202306196423-O11-3x2P18DW】
【図11 セキュリティ対策関連予算額が増加した背景(複数回答,2023年:n=82 2022年:n=83)】
【画像:https://kyodonewsprwire.jp/img/202306196423-O12-fFwgEY9V】
内部不正対策
2022年以降、内部不正対策に関するアクションを起こした(「対策を開始した」「対策を導入中」「情報収集や社内検討を行っている」の回答者)割合は83.2%と、多くの組織で何らかの内部不正、機密情報の持ち出し等に対する対策の強化を進めていることがわかる結果となりました(図12)。
さらに内部不正対策の対象では、「従業員向けの対策」が最多の64.9%、また「関連会社/サプライチェーンの不正対策(45.2%)」に続いて、「経営陣向けの対策」が41.8%となりました(図13)。昨年たびたび報道された社内からの情報持ち出しやデータ紛失等のセキュリティ事件の影響もあり、内部不正対策に対する意識や対応に変化があったことがうかがえる結果となりました。
対策の内容は、「サーバーのアクセス管理、ログ管理」が32.4%で最多。その他、個人の意思やリテラシーによらない“仕組みでの対策”が中心となっています(図14)。
【図12 内部不正対策の有無(単一回答,n=250)】
【画像:https://kyodonewsprwire.jp/img/202306196423-O13-GXrDr60b】
【図13 内部不正対策の対象(複数回答n=208)】
【画像:https://kyodonewsprwire.jp/img/202306196423-O14-SYqEEHF6】
【図14 内部不正対策の内訳(複数回答,n=204)】
【画像:https://kyodonewsprwire.jp/img/202306196423-O15-lMTQu6eP】
まとめ・考察
今回の調査では、データ侵害の発生実態、それに対する企業・団体の金銭的損失やセキュリティ予算の状況、セキュリティ運用の課題、今後懸念される脅威や内部不正対策について、特にハイライトすべき結果となりました。
近年、国内でも大規模なランサムウェアによる被害が複数確認され、現在も頻繁に企業・団体から日々新たなインシデントの発生について報告されています。攻撃の被害については、金銭的な損失はもちろんのこと、企業の信頼性や関連企業のビジネスへの影響などその影響は計り知れないほど甚大なものとなっています。今回の調査からも、懸念される脅威としてランサムウェア攻撃が最多となり、現実的に経営課題として注視されていることがうかがえる結果となりました。
一方、セキュリティ人材の不足という課題が続くなか、高度なセキュリティ人材の育成・確保は組織の優先事項となっています。そのためには、テクノロジーを有効に活用することで解決していく発想、アプローチが必要であり、人材の課題に対してもセキュリティ対策の面でも大きな効果をもたらすと考えられるAI(人工知能)や機械学習の活用は、より一層重要になると推察します。自動化された意思決定プロセスを用いたセキュリティソリューションの活用は、今後不可欠となるでしょう。
内部不正対策については、先ごろ地裁判決が出た大手外食チェーンの元役員による営業秘密持ち出しの事件や今年3月に報道された退職者による内部情報持ち出しの事件、また最近注目されているChatGPTをはじめとする生成AIの影響もあり、対策の強化への関心が高まっていることが考えられます。今回の調査からは、8割を超える企業が何らかの対策を検討または既に行っていることが確認できました。セキュリティリスクの観点からは、一定の性悪説を取り入れることで、適切に安全性を担保することが求められています。
攻撃手法が日々進化、巧妙化するなか、攻撃による被害を未然に防ぐこと、また発生時に効率よく対処するために、組織はさまざまな技術を取り入れ、多くのセキュリティソリューションを導入しています。今後はそれらへの投資を活かしながら、より高度な脅威に対抗していくために、統合的な管理・運用が求められることが考えられます。
こうした課題や考え方を実現するソリューションとして、XDR(eXtended Detection and Response)へ高い期待が寄せられています。次世代のセキュリティ対策のスタンダードといわれるXDRの普及と進化において、当社Trellixは今後も国内外で一層大きな役割を担うべく、尽力してまいります。
*2022年4月に実施した同様の趣旨の調査結果を引用の際は、集計対象を今回調査に揃えるため、再集計を行っています。
【調査概要】
調査名 サイバーセキュリティについての調査
調査対象 日本国内に在住する企業経営者、企業に勤務する情報システム担当者、一般従業員など22歳以上の男女計500人。集計にあたり、従業員数500名以上の組織に所属する回答者、かつ情報セキュリティの決済者・意思決定者を抽出(n=250)
調査方法 インターネットによるアンケート調査
調査期間 2023年5月19日(金)から5月24日(水)
調査主体 Trellix(株式会社アスマークに委託)
Trellixについて
Trellixは、サイバーセキュリティの未来を再定義するグローバル企業です。オープンかつネイティブなTrellixのXDR(Extended Detection and Response)プラットフォームは、現在最も高度な脅威に直面するお客様が業務の保護や回復に確信を持って対応するための支えとなります。Trellixのセキュリティ専門家は、広範なパートナーエコシステムとともに、データサイエンスと自動化によりテクノロジーイノベーションを加速させ、4万を超える企業や政府機関のお客様の力となっています。
別紙 その他の調査結果
【図15 組織規模別 情報セキュリティ運用上の課題(上位3つまで複数回答/最上位1つを単一回答,n=157)】
【画像:https://kyodonewsprwire.jp/img/202306196423-O16-taah8436】
【図16 組織規模別 あなたの所属する会社・団体で優先すべきと考える事項(複数回答,n=250)】
【画像:https://kyodonewsprwire.jp/img/202306196423-O17-2oWx0Vg6】
【図 17 導入中/導入済の製品分野(複数回答,n=250)】
【画像:https://kyodonewsprwire.jp/img/202306196423-O18-tF98vpr9】
