トレンドマイクロは5月8日、2022年下半期に実施したサイバーリスクに関する国際意識調査「Cyber Risk Index」(CRI)をもとに、日本の組織のセキュリティ体制が懸念される脅威に対してどれだけ準備ができているのかを調査し、その結果を発表した。

  • 2022年下半期のCyber Risk Indexのポイントによるランキング

    2022年下半期のCyber Risk Indexのポイントによるランキング

2022年下半期における日本のCRIは「0.19」というポイントで、28の国と地域中6位であった。サイバー予防指数であるCPIに関しては、日本は「5.61」とインドネシアに次いで2番目に高く、他国と比較してサイバーセキュリティリスクに対する準備体制への意識は高いことが見受けられる。

日本が調査対象となってから今回までのCRIの順位は、「9位」→「2位」→「6位」と常に上位10以内に入っているという。CRIのランキングは、その時々の組織におけるITインフラ環境の変化やサイバー攻撃者の動向によって回答者のセキュリティ意識や懸念が変わるため、調査ごとに順位が入れ替わりやすいが、日本は継続して上位で、サイバー脅威に対して準備を整える意識が常に高いとみられる。

過去の調査結果におけるCPIとCTIのポイントの変化に着目すると、どちらも上昇傾向を示している。サイバー脅威指数を示すCTIの増加に関しては、組織や企業を取り巻くサイバー脅威への懸念が着実に顕在化していることが要因だとトレンドマイクロはみている。また、懸念される脅威の増加に比例して各組織のサイバーセキュリティに対する意識が高まっていることから、サイバー予防指数を示すCPIが増加していると考えられるという。

  • これまでの日本のCPIとCTIポイントの比較

    これまでの日本のCPIとCTIポイントの比較

日本が調査対象となってから3期連続でアジア太平洋平均を下回ったのが、「修正プログラムを迅速にテスト・適用できているか」と「攻撃者に関する脅威インテリジェンスを得るための対策を施す能力があるか(ハニーポットなど)」であった。

  • 修正プログラムを迅速にテスト・適用できているか

    修正プログラムを迅速にテスト・適用できているか

また、CPIにおけるゼロトラスト関連の設問では、「積極的なゼロトラスト推進プロジェクトの発足」と「SASE(Secure Access Service Edge)ソリューションの導入もしくは必要性の評価」に関する設問がどちらも全体平均を下回り、特にゼロトラスト推進プロジェクトの発足に関しては、28の国と地域中27位という結果となった。

  • ゼロトラスト関連の設問

    ゼロトラスト関連の設問

もう一つ、「セキュリティに関する従業員への教育」、「セキュリティ人材の雇用や保持」に関して組織がリソースを費やしているかといった設問では、どちらも全体平均を上回っていることから、日本の組織はセキュリティ人材へのリソースの投資について積極的である傾向だという。

  • セキュリティ人材に関する設問

    セキュリティ人材に関する設問

また、日本において今後12か月の間に懸念されるサイバー脅威の1位は「ボットネット」で、2022年はEmotetが新たな攻撃手法を取り入れながら、活動の停止と再開を繰り返し、国内において多数の被害事例が公表された。また、2位(全体の1位)が「クリックジャッキング」、3位が「DoS攻撃」、4位が「中間者攻擊」、5位が「ランサムウェア」となった。なお、日本で最もセキュリティリスクを懸念しているポイントの1位は「怠慢な内部関係者」であった。

  • 今後12か月の間に懸念されるサイバー脅威のトップ5

    今後12か月の間に懸念されるサイバー脅威のトップ5