調査に参加した78%が過去1年以内にサイバーセキュリティインシデントを経験。自社のセキュリティ対策が万全と回答した企業はわずか38%
セキュリティ、パフォーマンス、信頼性を備えたより高度なインターネットの構築を支援するCloudflare(クラウドフレア)は、日本を含むアジア太平洋地域で行った最新の調査結果を発表した。「未来を守る:アジア太平洋地域サイバーセキュリティ調査」と題した本レポートでは、アジア太平洋地域におけるサイバーセキュリティ対策に関する最新データを紹介し、増大を続けるサイバーセキュリティインシデントに企業がどのように対処・対策しているかに加え、そこから得られた様々な成果を詳しく分析している。今回の分析結果から、現実にはサイバー攻撃が増大しているのにも関わらず、大半の組織がサイバーセキュリティ脅威に対処するための準備が十分でないと考えていることが分かった。
(アジア太平洋地域全体について)
サイバーセキュリティインシデントの増大に直面する企業
本調査は、オーストラリア、中国、香港特別行政区、インド、インドネシア、マレーシア、ニュージーランド、フィリピン、シンガポール、韓国、台湾、タイ、ベトナム、そして日本のサイバーセキュリティ分野の意思決定者とリーダー 4,000人以上を対象に実施された。その結果、回答者の78%が、過去12か月の間に1回はサイバーセキュリティインシデントを経験していたことが分かった。その内、80%が、4回以上のインシデントが発生したと回答した。また、インシデントの数が10回以上と答えた回答者も半数に及び、今後12か月間にインシデントが増大すると見込んでいる回答者は72%であった。
攻撃対策が不十分な組織が負う損失や罰金は数百万ドルにも
サイバーセキュリティインシデントが増大しているにも関わらず、サイバー攻撃への対策を十分に講じていると回答したのはわずか38%に留まった。特に、ヘルスケア(「対策を十分に講じている」回答者が16%)、教育(同13%)、政府機関(同10%)、旅行・観光(同10%)などの業界では脅威への対策ができていない可能性が高いと考えられていることが明らかになった。
さらに、調査に参加した回答者の約63%が、サイバーセキュリティインシデントによる自社への財務的影響が過去12か月で100万ドルを超えたと報告し、その内の14%に至っては被害額が300万ドルを超えていたことが判明した。加えて、アジア太平洋地域の企業は規制措置にも不安を抱えていた。回答者の33%が管轄行政機関に違反を訴え、26%が罰金を支払い、また26%が法的措置に踏み切っている。
この調査では、アジア太平洋地域では依然としてサイバーセキュリティ人材不足が深刻であることが浮かび上がり、回答者の60%がサイバーセキュリティ対策の課題に「人材不足」を挙げた。
ハイブリッド勤務の社員を守りながら、多様化するオンライン攻撃に立ち向かう
本調査の回答者は、過去12か月間にWeb攻撃、フィッシング攻撃、分散サービス妨害(DDoS)攻撃、内部脅威、資格情報の盗難などの被害を報告した。また、攻撃者の目的として最も多く指摘したのはスパイウェアの埋め込みで、金銭的な利益、データ流出、ランサムウェアなどが続きました。サイバーセキュリティ関連の意思決定者とリーダーが直面する最も差し迫った課題は、ハイブリッド勤務の社員の保護(51%)、サイバー攻撃への防御(48%)、ゼロトラストの導入(42%)の3つであった。
製品の数と保護の強度は必ずしも比例しない
回答者のほとんどが現在のサイバーセキュリティアーキテクチャに6~15の製品を使用していると回答した一方、企業の規模が大きくなるほど、使用する製品数はほぼ2倍の20以上に増えることが分かった。しかし、ソリューションの数が増えるほど、効率性に何らかのマイナスの影響を及ぼすことから、ソリューションの数を減らすべきであると示唆されている。調査結果によると、使用するソリューションの数が15未満の組織のうち、10回以上のサイバーセキュリティインシデントを経験した組織は39%のみであった。ところが、使用するソリューションが15以上の組織では、10回以上のサイバーセキュリティインシデントにあった組織は73%と多くなっている。逆に、12時間以内にインシデントを解決できた割合は、ソリューション数が15未満の企業では80%であったのに対し、ソリューション数が15以上の企業では65%に留まりまった。
ほとんどの企業が今後12か月で予算を増強する見込み
本調査の回答者の53%は、過去12か月で組織のIT予算の11~20%をサイバーセキュリティに割り当てたと述べ、28%がIT予算全体の20%以上を費やしたと回答した。サイバーセキュリティ関連に最も多くの資金を費やしたのは、ヘルスケア、輸送、金融の各業界。一方、教育、ゲーム、政府機関、製造などの業界では支出が少ない傾向にあった。今後の計画としては、回答者全体の67%が12か月の間にサイバーセキュリティ関連の予算を増やすと回答し、現在の支出額を維持すると回答したのは22%であった。
日本について
日本の回答者の81%が過去12か月の間に少なくとも1件のサイバーセキュリティインシデントを経験し、60%が10件以上のインシデントを経験したことが明らかになった。日本で最も一般的なサイバーセキュリティインシデントは、マルウェア(53%)、ビジネスメール詐欺(48%)、ランサムウェア・スパイウェア(43%)であり、日本で最も多くのサイバーセキュリティインシデントを経験した業界は、メディア・電気通信、ビジネス・プロフェッショナルサービス、金融サービス。
日本では、サイバーセキュリティインシデントが頻発しているにも関わらず、インシデントを回避するために「十分な対策を講じている」と回答したのは46%に留まり、対策の欠如が何百万もの損失をもたらしていることが分かった。回答者の71%は、過去12か月間に少なくとも100万ドルの財務的影響を受け、54%が少なくとも200万ドルの財務的影響を受けた。サイバーセキュリティインシデントによって影響を受けるのは財務だけではなく、それ以外に被った最大の影響として、顧客データの損失(66%)、知的財産の損失(65%)、社員情報の損失(62%)が挙げられた。
日本の回答者の53%は、組織のIT予算全体の16%から25%がサイバーセキュリティ対策に割り当てられていると回答したが、サイバーセキュリティ対策に関して直面している最大の課題は人材不足であるという回答が72%に上った。
クラウドフレア・ジャパン株式会社執行役員社長の佐藤知成は、「サイバーセキュリティへの備えが重要である一方で、企業はこれまで以上に不安定で複雑なサイバーセキュリティ環境に立ち向かい続けています。しかし、投入する予算や製品を増やすだけで、最善の成果が得られるわけではありません。費用を抑えつつ、より堅牢で管理が簡単なサイバーセキュリティインフラを構築するという二重のメリットを両立するためにすべての組織に求められるのは、サイバーセキュリティに戦略的にアプローチするためにビジネスリーダーの背中を押す強固なセキュリティ文化を醸成することです。クラウドフレア・ジャパンは、日本企業の資産を保護し、安全性を守るための取り組みを続けて参ります」と述べている。
調査レポート「未来を守る:アジア太平洋地域サイバーセキュリティ調査」の詳細については、以下より確認が可能だ。
Securing the Future: Asia Pacific Cybersecurity Readiness Survey
https://www.cloudflare.com/en-gb/lp/2023apjcsurvey/download/
ミニレポート:日本(Cloudflare アジア太平洋地域サイバーセキュリティ調査より)
https://prtimes.jp/a/?f=d61678-50-df9167e608b175f47f2938d2f41b6dea.pdf
調査方法
本調査は、小規模(従業員150~999人)、中規模(従業員1,000~2,500人)、大規模(従業員2,501人以上)の組織のサイバーセキュリティ関連の意思決定者およびリーダー4,009名を対象に、Cloudflareに代わりSandpiper Communications社が実施した。回答者の業界は、ビジネス・プロフェッショナルサービス、建設・不動産、教育、エネルギー・公共事業・天然資源、金融サービス、ゲーム、政府機関、ヘルスケア、IT・テクノロジー、製造、メディア・電気通信、小売、運輸、旅行・観光・ホスピタリティなど多岐にわたる。回答者は、アジア太平洋地域の14市場(オーストラリア、中国、香港特別行政区、インド、インドネシア、日本、マレーシア、ニュージーランド、フィリピン、シンガポール、韓国、台湾、タイ、ベトナム)を拠点としており、各地の企業委員会を通じて募集・オンラインで調査を実施した(1か国あたりn=203~426名)。アジア太平洋地域の広大で多様な国と地域で、最高情報セキュリティ責任者(CISO)やそのチームが直面している脅威の状況を把握し、有益な結果につながる行動を深く理解することを目的に行った本調査は、2023年7月に実施された。
出典:PRTimes Cloudflareの最新調査で、アジア太平洋地域の企業は自社のサイバーセキュリティ対策に不安を持つことが明らかに
