Tripwireはこのほど、「2023 Business Impact Report: Small Businesses and Cyberattacks|Tripwire」において、「Identity Theft Resource Center(ITRC)」が実施した2023 Business Impact Reportの概要を伝えた。レポートは「(PDF) 2023 BUSINESS IMPACT REPORT - Identity Theft Resource Center」から閲覧することができる。

  • 2023 Business Impact Report: Small Businesses and Cyberattacks|Tripwire

    2023 Business Impact Report: Small Businesses and Cyberattacks|Tripwire

中小企業の経営者や幹部の73%がサイバー攻撃を経験

Tripwireによると2023年の中小企業の経営者や幹部の73%がこの1年間にデータ侵害、またはサイバー攻撃を経験したと回答、インシデントの大幅な増加が明らかになったという。これは大企業が主な標的となっていた過去とは異なり、サイバー攻撃の主な標的が中小企業に移行した可能性があることを示している。

レポートでは中小企業の被害が増加しているにもかかわらず、経営者がセキュリティに揺るぎない自信を持っている実態を明らかにしている。2022年では回答者の70%がサイバー攻撃に対する防御や侵害からの回復の準備ができていると回答したが、2023年ではそれが85%に上昇。経営者は危険性を認識した上でサイバーセキュリティ対策に積極的に投資しているという。

中小企業におけるサイバー攻撃の被害状況

被害については従業員と顧客のデータが最も大きな影響を受けており、機密情報の保護がこれからの課題とされている。また、初めて被害を受けた組織数は2022年と2023年で大きな変化はなく、脅威が増加している一方で新しい攻撃は増加していないことがわかるとのこと。

サイバー攻撃の初期アクセスの手法は2023年で変化がみられ、従来は外部の攻撃者、悪意のある従業員、リモートワーカ、サードパーティベンダーが原因であったが、2023年はフィッシング攻撃や詐欺に起因する侵害が増加した。

また、2023年のデータ侵害件数は過去最高の2,100件を超えた。これらデータ侵害では87のベンダに対する攻撃だけで、1,300を超える組織が影響を受けたとされる。これは大企業のサプライチェーンに組み込まれた中小企業が影響を受けたことが原因とみられている。

遅れるサイバーセキュリティのベストプラクティスの普及

レポートではサイバーセキュリティのベストプラクティスの普及が遅いことも明らかにしている。多くの中小企業は多要素認証(MFA: Multi-Factor Authentication)、パスワードポリシ、機密情報へのアクセス制御など基本的なベストプラクティスを実施できておらず、実施率は20~34%の範囲内とされる。また、顧客データの保護の実施率も21~37%程度と低水準で、改善の余地があるとしている。

このように2023年は中小企業に対するサイバー攻撃の増加が観測された。これら企業はセキュリティに揺るぎない自信を見せているが、レポートからは堅牢なセキュリティ対策、速やかな侵害通知、ベストプラクティスの実践が不足していることが明らかになっている。進化するサイバー攻撃に対抗するために、中小企業にはさらなる防衛策の実践が望まれている。