日本企業がさらされている脅威の最新状況

サイバー攻撃の脅威は、あらゆる企業や組織を標的とし、重大な損害を与えている。脅威から身を守るには、的確な対策と対応する人材が求められる。

ExtraHop Networks（以下、ExtraHop）は、オーストラリア、シンガポール、そして日本に拠点を置くさまざまな業界の従業員数50人以上の組織のIT部門の意思決定者300人（各国100人ずつ）を対象に、StollzNow Research社とともに調査したレポート「ExtraHop 2022 Cyber Confidence Index-Asia Pacific（ExtraHopサイバーセキュリティの信頼度指数--アジア太平洋地域 2022年版）」を発表した。

今回は、同調査の結果から、企業がさらされている「脅威状況」を明らかにしていく。

ランサムウェアによる被害と対策状況

昨今、企業に対する大きな脅威の一つがランサムウェアだ。ランサムウェアはご存じの通り、感染するとPC上のファイルを暗号化して使えなくし、復号のために金銭（身代金）を要求するマルウェアである。最近では他のサイバー攻撃と組み合わせて使われることも多く、二重脅迫、三重脅迫といったケースも増えている。

このランサムウェアの攻撃を特定し阻止できるかという問いに対し、調査対象の3カ国全体では、「常に特定・阻止できる」という回答が23％、「通常特定・阻止できる」という回答が49％、「見逃す可能性はあるが、特定するプロセスは備えている」という回答が19％であった。日本の回答者においては、「分からない」と答えた割合が3カ国全体の割合の倍となる14％に上っている。

過去5年間にランサムウェアによるインシデントを経験したかという質問では、3カ国全体で実に83％が経験していた。半数以上（48％）が1回から5回経験しており、6回以上という回答は35％となっている。なお、国ごとに大きな差はなかったが、日本においては77％が過去5年以内にランサムウェアのインシデントを経験していた。

過去1年間に対処したランサムウェアによる被害は、46％が「ITインフラの停止（業務の停止）」、38％が「情報盗取・漏えい」、38％が「エンドユーザー環境のダウン」、33％が「OT（制御システム）インフラの停止（業務の停止）」であった。こちらも国ごとの差はなかった。

• 過去5年以内にランサムウェアによるインシデントを経験した回数　資料：ExtraHop Networks

ランサムウェアの身代金の支払いに関する質問では、3カ国全体で45％が「支払ったことがある」と回答していた。特に、「ランサムウェアの攻撃を特定し阻止できる自信がある」割合はシンガポールが54％でトップであった。日本は45％と3カ国全体と同じ割合となっている。

また、3カ国全体の57％が「一度支払うと繰り返し攻撃を受ける」と回答した。ランサムウェア攻撃を受けた際の情報開示では、68％が「公表・開示しない」あるいは「限定された一部への開示」となっており、公表・開示するケースが少ないことが分かる。最も公表・開示しているのはシンガポールで43％、日本は最も低く25％にとどまっており、日本の隠ぺい体質がうかがえる結果となった。

• ランサムウェア攻撃を受けた際の自社の情報開示状況　資料：ExtraHop Networks

現状のサイバーセキュリティ

次に、現状のサイバーセキュリティ脅威への対応について見ていく。まず、自社のサイバー脅威を阻止、軽減する能力に関する質問で「大いに信頼している・完全に信頼している」と回答した3カ国全体の割合は39％であった。シンガポールは52％と最も高く、日本は23％と最も低い結果となった。「脅威の検知で重点を置いているのは、境界か侵入後か」という質問では、「両方」と答えたのは42％、「侵入後」は32％、「境界」は24％であった（国ごとの差はなし）。

サプライチェーンやマネジメントサービス提供ベンダーなどの第三者に対し、社内ネットワークへのリモートアクセスを許可している3カ国全体の割合は51％（政府機関に絞ると33％）であった。また、第三者が自社のネットワークへアクセスする際のセキュリティ上の影響について検討するのは3カ国全体で86％、最も高いシンガポールは96％に及んだ。一方、日本は74％と最も低く、「検討していない」と答えた割合も日本は20％と、3カ国全体のほぼ倍となった。日本は、第三者に対するセキュリティの危機感が薄く、これは日本ならではの性善説が背景にあるのかもしれない。

• 第三者の社内ネットワークへのアクセス許可に対するセキュリティ上の影響の検討状況　資料：ExtraHop Networks

重大な脆弱性が公開されたときの対応時間では、「3日以内」（1日以内、1～3日）と回答したのは65％、「1カ月」「分からない」はともに7％であった（国ごとの差はなし）。直近のサイバーセキュリティインフラの更新では、53％が過去1年以内に更新しているが、2019年以降更新していない割合は28％であった。なお、「2020年に更新した」割合を見ると、3カ国全体の割合が26％であるのに対し、日本は18％にとどまった。

発生したインシデントの原因が、パッチが適用されない、あるいは古いプロトコルの使用など“時代遅れ”のサイバーセキュリティ態勢だったという割合は3カ国全体で50％に上り、外部に委託している場合は55％にも達した。

最も懸念しているサイバー攻撃では、「データの窃取・漏えい」、「ランサムウェア攻撃」「ソフトウェアサプライチェーンの侵害」という順になった。日本ではデータの盗取・漏えいと僅差でランサムウェア攻撃がトップとなっており、いずれも大きな懸念要因となっている。

• 自社において最も懸念しているサイバー攻撃・脅威　資料：ExtraHop Networks

脅威への対応能力

企業の実際の対応能力についてはどうだろうか。3カ国全体では過去2年に54％の組織がランサムウェアの攻撃を受けたことを認識している。日本は48％と少ないが、「分からない」という回答も3カ国全体より多い。顕在化していない脅威に気づいていない可能性もある。自社のサイバー攻撃のリスクの管理・軽減に対する評価に積極的であるのは3カ国とも共通している。

しかし、ここでもシンガポールの91％は「（非常に）取り組んでいる」と回答しているのに比べ、日本は74％と最も低い。さらに日本では「（全く）取り組んでいない」と「分からない」が突出しているのは、ここでも同じだ。

• 自社でサイバー攻撃のリスクの管理・軽減の評価に取り組んでいる　資料：ExtraHop Networks

この傾向は、攻撃者による内部ネットワークへの侵入を防ぐことができるかどうか、またインシデント対応の役割が明確かどうかについても同様の結果となっており、日本の「自身の役割を完全に把握している」とする割合がシンガポールの半分程度になっていることが特徴である。ただし、日本人の奥ゆかしさや、脅威をより深刻に捉えている現れという見方もでき、判断が難しいところだ。

一方で、サイバーセキュリティ戦略の推進には経営層の参画と強いリーダーシップが必要であることは、すべての国の共通認識となっている。また、法的措置や罰金などの規制が、セキュリティ関連の意思決定において経営層の取り組みを促進するものだという認識も同様であった。

サイバー攻撃の脅威は高まっており、実際に被害を受けるケースも少なくない。一方で、特に日本は時代遅れのサイバーセキュリティ態勢が多く残っており、更新もなかなか進んでいないことが明らかになった。ただし、これらを改善しセキュリティ態勢を強化するには、経営層の参画が重要となることも多く認識されているため、今後の進展に期待したいところだ。次回は脅威への対策状況について具体的に紹介していく。