1. HOME
  2. ブログ
  3. ランサムウェアの侵害、日本においては77%が侵害を受け、75%が公表せず ExtraHop Networks サイバーセキュリティの信頼度調査レポートを発表を発表

ランサムウェアの侵害、日本においては77%が侵害を受け、75%が公表せず ExtraHop Networks サイバーセキュリティの信頼度調査レポートを発表を発表

クラウドネイティブのネットワーク脅威検知と対応(NDR)を提供する米企業、ExtraHop Networks(本社:米ワシントン州、以下ExtraHop)は、日本、オーストラリア、シンガポールに拠点を置く組織のセキュリティ部門およびIT部門の意思決定者を対象にした調査レポート「ExtraHop 2022 Cyber Confidence Index—Asia Pacific(ExtraHopサイバーセキュリティの信頼度指数―アジア太平洋地域 2022年版)」を発表した。本調査では、現在のセキュリティ対策の有効性と、ランサムウェア攻撃の実態との間に齟齬があることを浮き彫りになった。調査は、ExtraHopがStollzNow Research社に依頼して実施された。本レポートの日本語版は、こちらからダウンロードできる。

本調査では、アジア太平洋地域の組織の83%が過去5年以内に少なくとも1回はランサムウェア攻撃を経験しているものの、そのインシデントを公表した組織はわずか32%であるといった結果が明らかになった。日本においては77%が侵害を受け、75%が公表していなかった。また、自社のサイバーセキュリティ脅威防御・対応能力を「大いに信頼している」と回答したアジア太平洋地域の回答者はわずか39%。しかし「信頼している」と回答した回答者も、その多くは過信と言える。サイバーセキュリティ関連の予算が増加していても、必ずしも防御水準やセキュリティの信頼度が上がっているわけではないことが明らかになった。不十分なセキュリティ対策、レガシーテクノロジの継続利用、実際に確認されている攻撃数など、あらゆる事柄において回答者の自信のレベルは高すぎるか、非現実的である可能性を示している。

アジア太平洋地域の経営陣がインシデントの公表や情報開示を支持しない理由は、同じことが再び起こる可能性がないとは言えないと考えているからで、このことも本調査で明らかになっている。実際、インシデントは度々起こっており、ランサムウェアの侵害に遭ったと確認された組織は、平均してその後少なくとも年に1回はランサムウェアに感染または再感染している。

調査の主な結果は以下の通り。

ランサムウェアは高いコストを強いる:アジア太平洋地域の組織の過半数が、身代金を支払えば攻撃は増えると考えているにもかかわらず、45%が身代金の支払いに応じた経験があった。また、44%の回答者が、ランサムウェア専門の保険またはランサムウェアの支払いもカバーする保険のいずれかに加入していると回答し、日本ではいずれの保険の加入率も40%以下であった。

ランサムウェア攻撃は連続してやってくる:過去5年以内にランサムウェア攻撃を経験していないと答えた回答者は、わずか17%。46%が1~5回攻撃されており、35%は6回以上攻撃されている。しかし、20%の組織は何らかの攻撃を受けても公表しないと答えているため、実際にランサムウェア攻撃を受けたことのある組織の割合は、おそらく遥かに高いことが示唆される。この結果は、各国で違いはほとんどない。

企業リーダーとセキュリティ部門の間でインシデントの公表に対する意見が不一致:ランサムウェア攻撃に関する情報を一般に公表・開示している組織はわずか32%で、48%は一部には公表しているものの可能な限り非公開にしており、20%は公表していない。一方で多くのITセキュリティ担当者はこの実態に否定的であり、66%がランサムウェア攻撃について公表・開示する方が望ましいと考えている。なお日本では、ランサムウェア攻撃に関する情報を一般に公表・開示すると回答した組織は25%で、他国より少ない結果となっている。

シンガポールの組織が最も法的な影響を懸念している:73%の回答者がセキュリティに関する経営陣の判断は、法的措置や罰金によって促されるものであると考えている。これは地域によって大きな差があり、シンガポールでは86%の組織が法的な影響を懸念しているのに対し、日本では68%、オーストラリアでは64%であった。

サプライチェーン攻撃リスクへの懸念:過半数(51%)の組織は、第三者が自社ネットワークにアクセスすることを認めていることが明らかになった。それに伴い、大多数(86%)の組織がセキュリティ面を考慮しており、シンガポール(96%)とオーストラリア(87%)が高く、日本(74%)はそれより低い数値。なお、日本の回答者の5人中1人が、第三者が自社ネットワークにアクセスすることに関わるセキュリティ問題を評価したことがないと回答した。

サイバーセキュリティ関連の予算は増加傾向:3分の2弱(61%)の組織は、2022年のサイバーセキュリティ予算が増えると見込んでいる。この数値は、シンガポール(70%)とオーストラリア(66%)で高く、日本(48%)は他国より低い数値であった。また、前年と同レベルの予算になると予想している日本の回答者は、49%にのぼった。各国とも、サイバーセキュリティ予算が減ると予想している組織は、ほとんどなかった。

重大な脆弱性に対する対応が遅い:1日以内に軽減策を実施またはパッチを適用できるセキュリティ部門の割合は26%に留まり、39%が1~3日、21%が1週間、8%が1カ月以上かかると回答している。

レガシーテクノロジが信頼度評価に影響: 47%の回答者が、サイバーセキュリティのインフラストラクチャを最後に更新したのは2020年以前であり、5分の1の組織が少なくとも3年間更新されていないテクノロジを使用している。また76%の回答者が、レガシーシステムが攻撃されることを懸念していると回答している。

さらに日本では、自社のセキュリティに対する信頼の低さが浮き彫りになった以下のような特徴的な結果が出ています。

  • 自社サイバー脅威防御・対応能力を「大いに信頼している」または「完全に信頼している」と答えた回答者の割合は、シンガポール(52%)、オーストラリア(43%)の順に高く、日本(23%)は最も低い結果。
  • サイバー攻撃の特定能力について「とても自信がある」または「自信がある」と回答した回答者の割合は、シンガポール(62%)、オーストラリア(59%)、日本(37%)の順。
  • ソーシャルエンジニアリング攻撃の特定能力は、「とても自信がある」または「自信がある」と回答した回答者の割合は、シンガポール(63%)、オーストラリア(56%)と比較して日本(35%)は低い数値。

ExtraHopでCISOを務めるジェフ・コストロー(Jeff Costlow)は次のように述べている。「アジア太平洋地域のセキュリティ部門のリーダーは、『経営陣との間で情報開示に対する意見が合わない』『予算が増えていても十分とは言えない』『法的責任について懸念がある』などの課題に直面しています。こうしたリーダーは、自社の知的財産、データ、顧客情報に対するリスク許容度を重視し、最も重要な資産を保護するためにツールとネットワークインテリジェンスでチームを強化する必要があります。今回の調査結果は、組織が攻撃を防ぐために直面している課題を明確にしています。侵入した脅威が本格的な侵害になるのを防ぐために必要なツールとフォレンジックを備えて防御を強化しましょう」。

また、ExtraHopの日本法人でパートナ統括営業部長を務める中田太(なかだ・ふとし)は次のように述べている。「日本でもサプライチェーン攻撃、ランサムウェア攻撃が連日大きなニュースになっています。攻撃は企業や組織の規模、業種に関係なくターゲットとなっており、セキュリティ対策が急務となっています。こうした中、今回の調査結果において、日本は自社のセキュリティ対策への信頼、セキュリティ関連の予算、スタッフへのセキュリティトレーニングについて、オーストラリア、シンガポールと比べて低いことが明らかになりました。自社のセキュリティ対策を見直し、スタッフの自信につながるソリューションやトレーニングの導入を進めることが重要な取り組みとなるでしょう」。

組織は、すべてのデバイスのネットワーク通信データを取得し、振る舞い分析やAI(人工知能)などのテクノロジを利用して、ランサムウェア攻撃が進行している異常を検知できるランサムウェア対策ツールを探す必要がある。ExtraHopのReveal(x) 360のようなNDRプラットフォームを活用することで、ランサムウェア攻撃者による侵入を検知、その後の侵入拡大などの活動を阻止し、実害を防ぐことが可能になる。

調査方法
本調査は、ExtraHopの依頼によりStollzNow Research社が2022年1月に実施したものである。調査対象は、日本、オーストラリア、シンガポールに拠点を置く様々な業界の従業員数50人以上の組織のIT部門の意思決定者300人(各国100人ずつ)。

関連記事

サイバーセキュリティの課題をテーマ別に紹介中!!