Cohesityは8月26日、同社委託して行った企業におけるサイバーレジリエンスに関する調査「The Cohesity Global Cyber Resilience Report 2024」の分析結果を発表した。
調査は、8カ国のITおよびセキュリティの意思決定者3100人以上を対象にグローバル規模で実施。サイバー攻撃(特にランサムウェア)の脅威が依然として増加していることを明らかにしているほか、大半の回答者は「2023年と比較して2024年には、組織の事業業界に対するサイバー攻撃の脅威が増加した、または増加するだろうと」回答している。
サイバーレジリエンス戦略に自信はあるが、身代金を支払うこともある
調査によると、調査対象企業ではサイバーレジリエンス能力と成熟度を過大評価しており、結果として事業継続に大きな支障をきたし、回答者の大半が過去6カ月間に、身代金の支払いにつながっていることが明らかになった。
調査結果では、78%が自社のサイバーレジリエンス戦略と「昨今のエスカレートするサイバー課題と脅威に対処する」能力に自信を持っていると回答しており、企業のサイバーレジリエンス戦略は、悪化するサイバー脅威の状況に対処できていることが明らかになっているという。
しかし、同時に回答者の67%が2024年に「ランサムウェア攻撃の被害者になった」、96%が「今年、自社の業界に対するサイバー攻撃の脅威が増加するだろう、またはすでに増加している」、59%が「2023年と比較して50%以上増加した、または増加するだろう」と回答した。
回答者の大多数が、自社のサイバーレジリエンス戦略に「ほぼ自信がある」または「完璧に自信がある」と答えたにもかかわらず、「データの復旧とビジネスプロセスの復元、あるいはその迅速化のために身代金を支払わない」と答えた回答者はわずか6%となり、83%は「身代金を支払う」と回答。
実際、グローバルにおける回答者の75%が「データの復旧とビジネスプロセスの復元のためなら100万米ドル以上の身代金を支払ってもよい」と回答し、22%が「500万米ドル以上を支払ってもよい」と回答している。
また、回答者の77%が「支払わないポリシーを持っている」と回答しているのにもかかわらず、回答者の69%が調査前の過去1年間に「身代金を支払ったことがある」と回答し、身代金を支払ったことのある2100人以上の回答者は、過去1年間に合計で下記の金額の身代金を「支払ったことがある」と回答。
- 37%が1万米ドル~24万9999米ドルの身代金を支払った
- 23%が25万米ドル~49万9999米ドルの身代金を支払った
- 23%が50万米ドル~99万9999米ドルの身代金を支払った
- 12%が100万米ドル~299万9999米ドルの身代金を支払った
- 6%が300万米ドルから999万9999米ドルの身代金を支払った
- 0.33%(7人の回答者)が1000万米ドルから2500万米ドルの身代金を支払った
サイバーレジリエンスに対する自信は、復旧・復元のスピードと比例しない
一方、サイバーレジリエンスは事業継続のためのテクノロジー基盤となり、組織がサイバー攻撃を受けた際にデータを復旧し、ビジネスプロセスを復元する能力を定義するものとなるが、回答者によればサイバーレジリエンスは依然として事業継続を脅かす課題であるとのこと。
2%が24時間以内にデータを復旧、ビジネスプロセスを復元できると回答し、1~3日以内が18%、4~6日が32%で復旧・復元できると回答した一方、31%は1~2週間を要すると回答しており、16%がデータ復旧とビジネスプロセスの復元に3週間以上を必要としているという。
対照的に「サイバー攻撃や情報漏えいが発生した場合に、ビジネスへの影響を最小限に抑えるために目標とする最適な復旧時間(RTO)」について尋ねたところ、回答者の98%が「目標は1日以内」と回答し、45%は「目標とする最適なRTOは2時間以内である」と回答している。
顧客や消費者は、事業やサービスの一貫した継続性を期待しており、そのためには効果的なサイバーレジリエンスが不可欠となるものの、サイバー攻撃やデータ侵害による事業継続の中断やダウンタイムに対する組織の許容範囲が「24時間以内である」と回答したのはわずか2%となった。
実際、回答者の31%は「ダウンタイムの許容範囲は1~3日」と回答しており、53%は「4~6日」、12%は「1週間以上」と回答。49%は「過去6カ月間にサイバー攻撃やデータ漏洩への対応をシミュレーションすることで、データセキュリティ、データ管理、データ復旧のプロセスやソリューション」をストレステストしたと回答している。
ゼロトラストとデータプライバシーは依然として課題
さらに、規制や法律の強化にもかかわらず、ゼロトラストセキュリティとデータプライバシーは依然として課題となっており、回答者の54%が「ITとセキュリティ間の重要データの一元的な可視性を改善することで、異常を検知し、機密データの暴露や侵害を判断することができる」と回答。
ゼロトラストセキュリティの原則に沿ったデータアクセス制御対策について尋ねたところ、MFA(多要素認証)を導入している企業は半数以上となったが、データの変更や役割ベースのアクセス制御の前に複数の承認を必要とする機能を導入している企業は半数以下という結果になった。
- MFA:52%
- 定足数管理または複数の承認を必要とする管理規則:49%
- RBAC(役割ベースのアクセス制御):46%
政府や公的機関が、より強固なサイバーセキュリティ、データ保護、データプライバシー対策を徹底して奨励しているにもかかわらず「機密データを特定し、適用されるデータプライバシー法や規制を遵守するためのIT・セキュリティテクノロジー能力をすべて備えている」と回答したのは、42%に過ぎないという。
しかし、回答者の79%は「高度な脅威検知、データ分離、データ分類は、サイバー保険の加入資格やサイバー保険契約の割引を確保するために不可欠である」とも回答。「サイバー攻撃の影響を最も受けていると思う業界・業種があれば教えてください」という質問に対して、回答者は最も影響を受けている「上位7」の業界・業種として、「IT、テクノロジー(40%)」「銀行、資産管理(27%)」「金融サービス(27%、保険会社を含む)」「通信、メディア(24%、ストリーミングサービスなど)」「政府、公共サービス(23%)」「公益事業(21%、水道、電気、ガス、その他エネルギーサービス会社など)」「製造業(21%)」となった。
そのほか、回答者の組織では現在、AIベースのサイバー攻撃や脅威に対処することが求められており、80%は「過去12カ月以内にAIベースと思われる攻撃や脅威に対応した経験がある」と回答している。
そのうち、「はい」と答えた回答者の82%が「これらの攻撃に対処し、対応するために必要なAIを活用したソリューションを持っている」と回答し、「過去1年間にAIを利用したサイバー攻撃やサイバー脅威に対応したことがない」と回答した18%のうち、49%は「今後の攻撃に対抗し、対応するために必要なAIを利用したソリューションを持っている」、336%が「持っていない」と答え、15%が「わからない」と回答している。