Cohesityは7月30日、日本企業におけるサイバーレジリエンスに関する調査結果を公表した。調査対象企業は自社のサイバーレジリエンス能力を過大評価し、その結果、事業や業務の継続に大きな支障をきたし、身代金の支払いに至っていることが明らかになった。

  • Cohesity ロゴ

    Cohesity ロゴ

71%が2024年にランサムウェア攻撃の被害者になった

このレポートは、Cohesityが委託したCensuswideが6月27日~7月18日に実施した、日本のITおよびセキュリティ分野の意思決定者301名を対象とした調査に基づく。

日本のITおよびセキュリティの意思決定者301人を対象に行われた同調査では、ランサムウェアなどのサイバー攻撃が広く蔓延していることが確認された。回答者の大多数が過去6カ月間にランサムウェアの被害を受け、ほとんどの回答者が過去1年間に身代金を支払ったと回答。さらに、ほとんどの回答者が2024年には各企業が属する産業分野に対するサイバー攻撃の脅威が増加すると回答したという。

調査結果によると、回答者の76%が自社のサイバーレジリエンス戦略とエスカレートするサイバー課題と脅威に対処する能力に自信を持っていると回答し、企業のサイバーレジリエンス戦略が悪化するサイバー脅威に対処できていることが明らかになった。同時に、回答者の71%が2024年にランサムウェア攻撃の被害者になったと回答し、98%が今年自社の業界に対するサイバー攻撃の脅威が増加するだろうと回答、77%が2023年と比べて50%以上の増加が予想されると回答したという。

また、回答者の大多数が自社のサイバーレジリエンス戦略に自信を持っているにもかかわらず、79%がデータの復旧とビジネスプロセスの復元、またはその迅速化のために身代金を支払うと回答した。支払わないと回答したのはわずか12%、身代金の金額によっては支払う可能性があると回答したのは9%であった。実際には、77%の回答者がデータの復旧とビジネスプロセスの回復のために100万米ドル以上の身代金を支払ってもよいと回答し、24%は500万米ドル以上を支払ってもよいと回答している。

70%が過去1年間に身代金を支払ったことがある

興味深いことに、回答者の70%が過去1年間に身代金を支払ったことがあると回答している一方で、85%が自社では身代金を支払わないというポリシーを持っていると回答。過去1年間に身代金を支払った210人は、36%が1~3970万米ドル、26%が3970万~7940万米ドル、20%が7940万~1億5880万米ドル、3%が4億7650万~7億9440万米ドル、1%が7億9440万~15億8880万米ドルの身代金を支払ったという。

サイバーレジリエンスは事業継続のためのテクノロジー基盤であり、組織がサイバー攻撃を受けた場合にデータを復旧し、ビジネスプロセスを復元する能力を定義するものだが、日本の回答者によれば、サイバーレジリエンスはまだまだ事業継続を脅かす課題であるとされている。調査によると、24時間以内にデータを復旧し、ビジネスプロセスを復元できると回答したのはわずか2%であり、13%の回答者は1〜3日以内に復旧・復元できる、28%は4〜6日で回復・復元できると回答した一方で、37%は1〜2週間を要すると回答した。さらに、17%の回答者はデータ復旧とビジネスプロセスの復元に3週間以上を必要としていると回答した。

対照的に、イバー攻撃や侵害事件が発生した場合に、ビジネスへの影響を最小限に抑えるために目標とする最適な復旧時間(RTO)」について尋ねたところ、回答者の95%が「1日以内」と回答したが、実際に同じ期間内にデータを復旧し、ビジネスプロセスを復元できたのはわずか2%であったという。特筆すべきは、38%の回答者が「最適な復旧時間(RTO)の目標は2時間以内」と回答したことだ。

顧客や消費者が期待する事業やサービスの一貫した継続のためには、効果的なサイバーレジリエンスが重要だが、サイバー攻撃やデータ漏洩による事業継続の中断やダウンタイムに対する組織における許容範囲が24時間以内と回答した回答者はわずか0.33%であった。実際、日本の回答者の32%が「ダウンタイムの許容範囲は1〜3日以内」、54%が「4〜6日」、10%が「1週間以上」と回答している。興味深いことに、回答者の45%が過去6カ月間にサイバーイベントやデータ漏洩への対応をシミュレーションすることで、データセキュリティ、データ管理、データ復旧のプロセスやソリューションをストレステストしたと回答している。

異常を検知し、機密データの暴露や侵害を判断するために、ITとセキュリティ間で重要データを一元的に可視化すると回答したのはわずか38%。ゼロトラストセキュリティの原則に基づくデータアクセス制御対策について尋ねると、多要素認証(MFA)48%、役割ベースのアクセス制御(RBAC)45%、定足数管理または複数の承認を必要とする管理規則 38%と、日本では多要素認証や複数の承認を必要とするQuorumや管理ルール、役割ベースのアクセス制御を導入している組織は半数にも満たないことがわかった。

政府や公的機関が強固なサイバーセキュリティ、データ保護、データプライバシー対策を奨励しているにもかかわらず、全回答者のうち「機密データを特定し、適用されるデータプライバシー法や規制を遵守するためのIT・セキュリティテクノロジー能力をすべて備えている」と回答したのはわずか36%であった。ただし、回答者の80%は、「高度な脅威検知、データ分離、データ分類は、サイバー保険の加入資格やサイバー保険契約の割引を確保するために不可欠である」と回答している。

サイバー攻撃の影響を最も受けている業界は?

サイバー攻撃の影響を最も受けていると思う業界・業種を尋ねると、回答者は日本で最も影響を受けている「トップ 7」の業界・業種として、IT、テクノロジー 32%、金融サービス(保険会社を含む) 27%、通信、メディア(ストリーミングサービスなど)24%、銀行、資産管理 24%、政府、公共サービス 24%、製造業 23%、公益事業 (水道、電気、ガス、その他エネルギーサービス会社など) 22%となった。

回答者の企業の77%以上が過去1年以内にAIベースの攻撃や脅威に対応した経験があり、うち81%はAIベースのサイバー攻撃に対応するために必要なAIを活用したソリューションを持っていると回答した。過去1年間にAIを利用したサイバー攻撃や脅威に対応した経験がないと回答した18%のうち、36%は必要なAIを持っていると回答し、47%は持っていないと回答、17%はわからないと回答した。