サイバーセキュリティの信頼度調査レポートを発表:アジア太平洋地域の組織の83%が過去5年内にランサムウェアの侵害を受けるも、68%が公表せず
日本は77%が侵害を受け、75%が公表していない
クラウドネイティブのネットワーク脅威検知と対応(NDR)を提供する米企業、ExtraHop Networks(https://www.extrahop.com/ja/、本社:米ワシントン州、読み方:エクストラホップ・ネットワークス、以下ExtraHop)は本日、日本、オーストラリア、シンガポールに拠点を置く組織のセキュリティ部門およびIT部門の意思決定者を対象にした調査レポート「ExtraHop 2022 Cyber Confidence Index—Asia Pacific(ExtraHopサイバーセキュリティの信頼度指数―アジア太平洋地域 2022年版)」を発表しました。本調査では、現在のセキュリティ対策の有効性と、ランサムウェア攻撃の実態との間に齟齬があることを浮き彫りになりました。調査は、ExtraHopがStollzNow Research社に依頼して実施されました。本レポートの日本語版は、こちら(https://www.extrahop.com/ja/resources/papers/the-ciso-realists-of-asia-pacific/)からダウンロードできます。
本調査では、アジア太平洋地域の組織の83%が過去5年以内に少なくとも1回はランサムウェア攻撃を経験しているものの、そのインシデントを公表した組織はわずか32%であるといった結果が明らかになりました。日本においては77%が侵害を受け、75%が公表していませんでした。また、自社のサイバーセキュリティ脅威防御・対応能力を「大いに信頼している」と回答したアジア太平洋地域の回答者はわずか39%でした。しかし「信頼している」と回答した回答者も、その多くは過信と言えます。サイバーセキュリティ関連の予算が増加していても、必ずしも防御水準やセキュリティの信頼度が上がっているわけではないことが明らかになりました。不十分なセキュリティ対策、レガシーテクノロジの継続利用、実際に確認されている攻撃数など、あらゆる事柄において回答者の自信のレベルは高すぎるか、非現実的である可能性を示しています。
アジア太平洋地域の経営陣がインシデントの公表や情報開示を支持しない理由は、同じことが再び起こる可能性がないとは言えないと考えているからで、このことも本調査で明らかになっています。実際、インシデントは度々起こっており、ランサムウェアの侵害に遭ったと確認された組織は、平均してその後少なくとも年に1回はランサムウェアに感染または再感染しています。
調査の主な結果は以下の通りです。
ランサムウェアは高いコストを強いる:アジア太平洋地域の組織の過半数が、身代金を支払えば攻撃は増えると考えているにもかかわらず、45%が身代金の支払いに応じた経験がありました。また、44%の回答者が、ランサムウェア専門の保険またはランサムウェアの支払いもカバーする保険のいずれかに加入していると回答し、日本ではいずれの保険の加入率も40%以下でした。
ランサムウェア攻撃は連続してやってくる:過去5年以内にランサムウェア攻撃を経験していないと答えた回答者は、わずか17%でした。46%が1~5回攻撃されており、35%は6回以上攻撃されています。しかし、20%の組織は何らかの攻撃を受けても公表しないと答えているため、実際にランサムウェア攻撃を受けたことのある組織の割合は、おそらく遥かに高いことが示唆されます。この結果は、各国で違いはほとんどありませんでした。
企業リーダーとセキュリティ部門の間でインシデントの公表に対する意見が不一致:ランサムウェア攻撃に関する情報を一般に公表・開示している組織はわずか32%で、48%は一部には公表しているものの可能な限り非公開にしており、20%は公表していません。一方で多くのITセキュリティ担当者はこの実態に否定的であり、66%がランサムウェア攻撃について公表・開示する方が望ましいと考えています。なお日本では、ランサムウェア攻撃に関する情報を一般に公表・開示すると回答した組織は25%で、他国より少ない結果となっています。
シンガポールの組織が最も法的な影響を懸念している:73%の回答者がセキュリティに関する経営陣の判断は、法的措置や罰金によって促されるものであると考えています。これは地域によって大きな差があり、シンガポールでは86%の組織が法的な影響を懸念しているのに対し、日本では68%、オーストラリアでは64%でした。
サプライチェーン攻撃リスクへの懸念:過半数(51%)の組織は、第三者が自社ネットワークにアクセスすることを認めていることが明らかになりました。それに伴い、大多数(86%)の組織がセキュリティ面を考慮しており、シンガポール(96%)とオーストラリア(87%)が高く、日本(74%)はそれより低い数値でした。なお、日本の回答者の5人中1人が、第三者が自社ネットワークにアクセスすることに関わるセキュリティ問題を評価したことがないと回答しました。
サイバーセキュリティ関連の予算は増加傾向:3分の2弱(61%)の組織は、2022年のサイバーセキュリティ予算が増えると見込んでいます。この数値は、シンガポール(70%)とオーストラリア(66%)で高く、日本(48%)は他国より低い数値でした。また、前年と同レベルの予算になると予想している日本の回答者は、49%にのぼりました。各国とも、サイバーセキュリティ予算が減ると予想している組織は、ほとんどいませんでした。
重大な脆弱性に対する対応が遅い:1日以内に軽減策を実施またはパッチを適用できるセキュリティ部門の割合は26%に留まり、39%が1~3日、21%が1週間、8%が1カ月以上かかると回答しています。
レガシーテクノロジが信頼度評価に影響: 47%の回答者が、サイバーセキュリティのインフラストラクチャを最後に更新したのは2020年以前であり、5分の1の組織が少なくとも3年間更新されていないテクノロジを使用しています。また76%の回答者が、レガシーシステムが攻撃されることを懸念していると回答しています。
さらに日本では、自社のセキュリティに対する信頼の低さが浮き彫りになった以下のような特徴的な結果が出ています。
ExtraHopでCISOを務めるジェフ・コストロー(Jeff Costlow)は次のように述べています。「アジア太平洋地域のセキュリティ部門のリーダーは、『経営陣との間で情報開示に対する意見が合わない』『予算が増えていても十分とは言えない』『法的責任について懸念がある』などの課題に直面しています。こうしたリーダーは、自社の知的財産、データ、顧客情報に対するリスク許容度を重視し、最も重要な資産を保護するためにツールとネットワークインテリジェンスでチームを強化する必要があります。今回の調査結果は、組織が攻撃を防ぐために直面している課題を明確にしています。侵入した脅威が本格的な侵害になるのを防ぐために必要なツールとフォレンジックを備えて防御を強化しましょう。」
また、ExtraHopの日本法人でパートナ統括営業部長を務める中田太(なかだ・ふとし)は次のように述べています。「日本でもサプライチェーン攻撃、ランサムウェア攻撃が連日大きなニュースになっています。攻撃は企業や組織の規模、業種に関係なくターゲットとなっており、セキュリティ対策が急務となっています。こうした中、今回の調査結果において、日本は自社のセキュリティ対策への信頼、セキュリティ関連の予算、スタッフへのセキュリティトレーニングについて、オーストラリア、シンガポールと比べて低いことが明らかになりました。自社のセキュリティ対策を見直し、スタッフの自信につながるソリューションやトレーニングの導入を進めることが重要な取り組みとなるでしょう。」
組織は、すべてのデバイスのネットワーク通信データを取得し、振る舞い分析やAI(人工知能)などのテクノロジを利用して、ランサムウェア攻撃が進行している異常を検知できるランサムウェア対策ツールを探す必要があります。ExtraHopのReveal(x) 360のようなNDRプラットフォームを活用することで、ランサムウェア攻撃者による侵入を検知、その後の侵入拡大などの活動を阻止し、実害を防ぐことが可能になります。
調査方法
本調査は、ExtraHopの依頼によりStollzNow Research社が2022年1月に実施したものです。調査対象は、日本、オーストラリア、シンガポールに拠点を置く様々な業界の従業員数50人以上の組織のIT部門の意思決定者300人(各国100人ずつ)です。
その他の調査結果
NDR(Network Detection and Response): 59%の組織がすでにNDRを導入しています。また、34%の組織が来年NDRシステムに投資する意向です。日本では18%が導入の予定があると回答し、39%が予定はないと回答しています。
ソーシャルエンジニアリング戦略:21%の組織がすでにソーシャルエンジニアリング戦略を実施済みであり、58%がソーシャルエンジニアリング攻撃を発見するための従業員トレーニングを行っていました。また、47%の組織が2022年中に新たにソーシャルエンジニアリング戦略を実施する意向です。
脅威トレーニングと検知の強化:46%の組織が、IT担当者向け脅威トレーニングを実施する予定であると回答しました。そして、49%の組織が脅威検知スピードを向上させる予定であると回答しています。日本においては、ともに40%程度の結果でした。
リソースの増加:40%の組織が、社内のセキュリティ専任者を増員または新規採用する予定です。また、40%の組織が、2022年に外部のマネージドセキュリティサービスを利用する予定です。日本では30%がセキュリティ専任者を増員または新規採用する予定であると回答しています。またその人材確保は難しくないと考えている人が日本では約半数(55%)で、シンガポール(27%)、オーストラリア(22%)の約2倍となる数値でした。
他国の特徴
オーストラリアは人材確保に苦戦
オーストラリアの回答者の43%が、サイバー脅威防御・対応能力を「とても信頼している」または「完全に信頼している」と回答しました。信頼の内容にはばらつきがあります。例えば、77%が攻撃者による社内ネットワークへの侵入を防ぐ能力を信頼していますが、ランサムウェア攻撃を特定し阻止できると答えた回答者は19%に過ぎません。オーストラリアの組織における2022年の予算は前年から増える見込みですが、それでも人材確保は難しいかもしれません。リモートワークが可能になり、採用できる人材の幅は広がっているにもかかわらず、63%がサイバーセキュリティチームの人材を見つけることが難しいと回答しています。
シンガポールはNDRの普及率が最も高い
シンガポールの回答者はサイバー脅威への対応力に対する信頼度が最も高く(52%)、攻撃者による社内ネットワークへの侵入を防ぐ能力は88%、ランサムウェア攻撃を特定し阻止する能力は31%の回答者が信頼しています。このような信頼度の高さは、法規制の影響かもしれません。シンガポールでは、他の地域を大幅に上回る86%の回答者が、法的措置や罰金の脅威が経営陣のセキュリティ判断を促していると答えています。そのため、74%の組織がすでにNDRソリューションを導入しています。これはオーストラリアと比べて25ポイント、日本と比べて19ポイント高い数値です。
ExtraHopについて
ExtraHopは、サイバー攻撃者が有利な立場にある昨今、弱体化や裏をかいた攻撃、侵害を阻止するセキュリティで、組織がサイバー攻撃者より優位に立つサポートを提供することをミッションに掲げています。ExtraHopの動的なサイバー攻撃防御プラットフォームReveal(x) 360は、侵害被害を受ける前に、高度な脅威の検知とレスポンスで組織のサポートを行います。1日あたりペタバイト規模のトラフィックにクラウド型AIを適用し、インフラストラクチャ、ワークロード、実行中のデータの全体にラインレートの復号化と振る舞い分析を実行します。ExtraHopがネットワーク環境を完全に可視化するため、組織は不正な振る舞いの検知、高度な脅威のハンティング、あらゆるインシデントのフォレンジック調査を確実に行うことができます。ExtraHopは、IDC、Gartner、Forbes、SC Mediaなど数多くの企業から、NDR市場のリーダーと認識されています。詳細はhttps://www.extrahop.com/をご覧ください。
本調査では、アジア太平洋地域の組織の83%が過去5年以内に少なくとも1回はランサムウェア攻撃を経験しているものの、そのインシデントを公表した組織はわずか32%であるといった結果が明らかになりました。日本においては77%が侵害を受け、75%が公表していませんでした。また、自社のサイバーセキュリティ脅威防御・対応能力を「大いに信頼している」と回答したアジア太平洋地域の回答者はわずか39%でした。しかし「信頼している」と回答した回答者も、その多くは過信と言えます。サイバーセキュリティ関連の予算が増加していても、必ずしも防御水準やセキュリティの信頼度が上がっているわけではないことが明らかになりました。不十分なセキュリティ対策、レガシーテクノロジの継続利用、実際に確認されている攻撃数など、あらゆる事柄において回答者の自信のレベルは高すぎるか、非現実的である可能性を示しています。
アジア太平洋地域の経営陣がインシデントの公表や情報開示を支持しない理由は、同じことが再び起こる可能性がないとは言えないと考えているからで、このことも本調査で明らかになっています。実際、インシデントは度々起こっており、ランサムウェアの侵害に遭ったと確認された組織は、平均してその後少なくとも年に1回はランサムウェアに感染または再感染しています。
調査の主な結果は以下の通りです。
ランサムウェアは高いコストを強いる:アジア太平洋地域の組織の過半数が、身代金を支払えば攻撃は増えると考えているにもかかわらず、45%が身代金の支払いに応じた経験がありました。また、44%の回答者が、ランサムウェア専門の保険またはランサムウェアの支払いもカバーする保険のいずれかに加入していると回答し、日本ではいずれの保険の加入率も40%以下でした。
ランサムウェア攻撃は連続してやってくる:過去5年以内にランサムウェア攻撃を経験していないと答えた回答者は、わずか17%でした。46%が1~5回攻撃されており、35%は6回以上攻撃されています。しかし、20%の組織は何らかの攻撃を受けても公表しないと答えているため、実際にランサムウェア攻撃を受けたことのある組織の割合は、おそらく遥かに高いことが示唆されます。この結果は、各国で違いはほとんどありませんでした。
企業リーダーとセキュリティ部門の間でインシデントの公表に対する意見が不一致:ランサムウェア攻撃に関する情報を一般に公表・開示している組織はわずか32%で、48%は一部には公表しているものの可能な限り非公開にしており、20%は公表していません。一方で多くのITセキュリティ担当者はこの実態に否定的であり、66%がランサムウェア攻撃について公表・開示する方が望ましいと考えています。なお日本では、ランサムウェア攻撃に関する情報を一般に公表・開示すると回答した組織は25%で、他国より少ない結果となっています。
シンガポールの組織が最も法的な影響を懸念している:73%の回答者がセキュリティに関する経営陣の判断は、法的措置や罰金によって促されるものであると考えています。これは地域によって大きな差があり、シンガポールでは86%の組織が法的な影響を懸念しているのに対し、日本では68%、オーストラリアでは64%でした。
サプライチェーン攻撃リスクへの懸念:過半数(51%)の組織は、第三者が自社ネットワークにアクセスすることを認めていることが明らかになりました。それに伴い、大多数(86%)の組織がセキュリティ面を考慮しており、シンガポール(96%)とオーストラリア(87%)が高く、日本(74%)はそれより低い数値でした。なお、日本の回答者の5人中1人が、第三者が自社ネットワークにアクセスすることに関わるセキュリティ問題を評価したことがないと回答しました。
サイバーセキュリティ関連の予算は増加傾向:3分の2弱(61%)の組織は、2022年のサイバーセキュリティ予算が増えると見込んでいます。この数値は、シンガポール(70%)とオーストラリア(66%)で高く、日本(48%)は他国より低い数値でした。また、前年と同レベルの予算になると予想している日本の回答者は、49%にのぼりました。各国とも、サイバーセキュリティ予算が減ると予想している組織は、ほとんどいませんでした。
重大な脆弱性に対する対応が遅い:1日以内に軽減策を実施またはパッチを適用できるセキュリティ部門の割合は26%に留まり、39%が1~3日、21%が1週間、8%が1カ月以上かかると回答しています。
レガシーテクノロジが信頼度評価に影響: 47%の回答者が、サイバーセキュリティのインフラストラクチャを最後に更新したのは2020年以前であり、5分の1の組織が少なくとも3年間更新されていないテクノロジを使用しています。また76%の回答者が、レガシーシステムが攻撃されることを懸念していると回答しています。
さらに日本では、自社のセキュリティに対する信頼の低さが浮き彫りになった以下のような特徴的な結果が出ています。
- 自社のサイバー脅威防御・対応能力を「大いに信頼している」または「完全に信頼している」と答えた回答者の割合は、シンガポール(52%)、オーストラリア(43%)の順に高く、日本(23%)は最も低い結果でした。
- サイバー攻撃の特定能力について「とても自信がある」または「自信がある」と回答した回答者の割合は、シンガポール(62%)、オーストラリア(59%)、日本(37%)の順でした。
- ソーシャルエンジニアリング攻撃の特定能力は、「とても自信がある」または「自信がある」と回答した回答者の割合は、シンガポール(63%)、オーストラリア(56%)と比較して日本(35%)は低い数値でした。
ExtraHopでCISOを務めるジェフ・コストロー(Jeff Costlow)は次のように述べています。「アジア太平洋地域のセキュリティ部門のリーダーは、『経営陣との間で情報開示に対する意見が合わない』『予算が増えていても十分とは言えない』『法的責任について懸念がある』などの課題に直面しています。こうしたリーダーは、自社の知的財産、データ、顧客情報に対するリスク許容度を重視し、最も重要な資産を保護するためにツールとネットワークインテリジェンスでチームを強化する必要があります。今回の調査結果は、組織が攻撃を防ぐために直面している課題を明確にしています。侵入した脅威が本格的な侵害になるのを防ぐために必要なツールとフォレンジックを備えて防御を強化しましょう。」
また、ExtraHopの日本法人でパートナ統括営業部長を務める中田太(なかだ・ふとし)は次のように述べています。「日本でもサプライチェーン攻撃、ランサムウェア攻撃が連日大きなニュースになっています。攻撃は企業や組織の規模、業種に関係なくターゲットとなっており、セキュリティ対策が急務となっています。こうした中、今回の調査結果において、日本は自社のセキュリティ対策への信頼、セキュリティ関連の予算、スタッフへのセキュリティトレーニングについて、オーストラリア、シンガポールと比べて低いことが明らかになりました。自社のセキュリティ対策を見直し、スタッフの自信につながるソリューションやトレーニングの導入を進めることが重要な取り組みとなるでしょう。」
組織は、すべてのデバイスのネットワーク通信データを取得し、振る舞い分析やAI(人工知能)などのテクノロジを利用して、ランサムウェア攻撃が進行している異常を検知できるランサムウェア対策ツールを探す必要があります。ExtraHopのReveal(x) 360のようなNDRプラットフォームを活用することで、ランサムウェア攻撃者による侵入を検知、その後の侵入拡大などの活動を阻止し、実害を防ぐことが可能になります。
調査方法
本調査は、ExtraHopの依頼によりStollzNow Research社が2022年1月に実施したものです。調査対象は、日本、オーストラリア、シンガポールに拠点を置く様々な業界の従業員数50人以上の組織のIT部門の意思決定者300人(各国100人ずつ)です。
その他の調査結果
NDR(Network Detection and Response): 59%の組織がすでにNDRを導入しています。また、34%の組織が来年NDRシステムに投資する意向です。日本では18%が導入の予定があると回答し、39%が予定はないと回答しています。
ソーシャルエンジニアリング戦略:21%の組織がすでにソーシャルエンジニアリング戦略を実施済みであり、58%がソーシャルエンジニアリング攻撃を発見するための従業員トレーニングを行っていました。また、47%の組織が2022年中に新たにソーシャルエンジニアリング戦略を実施する意向です。
脅威トレーニングと検知の強化:46%の組織が、IT担当者向け脅威トレーニングを実施する予定であると回答しました。そして、49%の組織が脅威検知スピードを向上させる予定であると回答しています。日本においては、ともに40%程度の結果でした。
リソースの増加:40%の組織が、社内のセキュリティ専任者を増員または新規採用する予定です。また、40%の組織が、2022年に外部のマネージドセキュリティサービスを利用する予定です。日本では30%がセキュリティ専任者を増員または新規採用する予定であると回答しています。またその人材確保は難しくないと考えている人が日本では約半数(55%)で、シンガポール(27%)、オーストラリア(22%)の約2倍となる数値でした。
他国の特徴
オーストラリアは人材確保に苦戦
オーストラリアの回答者の43%が、サイバー脅威防御・対応能力を「とても信頼している」または「完全に信頼している」と回答しました。信頼の内容にはばらつきがあります。例えば、77%が攻撃者による社内ネットワークへの侵入を防ぐ能力を信頼していますが、ランサムウェア攻撃を特定し阻止できると答えた回答者は19%に過ぎません。オーストラリアの組織における2022年の予算は前年から増える見込みですが、それでも人材確保は難しいかもしれません。リモートワークが可能になり、採用できる人材の幅は広がっているにもかかわらず、63%がサイバーセキュリティチームの人材を見つけることが難しいと回答しています。
シンガポールはNDRの普及率が最も高い
シンガポールの回答者はサイバー脅威への対応力に対する信頼度が最も高く(52%)、攻撃者による社内ネットワークへの侵入を防ぐ能力は88%、ランサムウェア攻撃を特定し阻止する能力は31%の回答者が信頼しています。このような信頼度の高さは、法規制の影響かもしれません。シンガポールでは、他の地域を大幅に上回る86%の回答者が、法的措置や罰金の脅威が経営陣のセキュリティ判断を促していると答えています。そのため、74%の組織がすでにNDRソリューションを導入しています。これはオーストラリアと比べて25ポイント、日本と比べて19ポイント高い数値です。
ExtraHopについて
ExtraHopは、サイバー攻撃者が有利な立場にある昨今、弱体化や裏をかいた攻撃、侵害を阻止するセキュリティで、組織がサイバー攻撃者より優位に立つサポートを提供することをミッションに掲げています。ExtraHopの動的なサイバー攻撃防御プラットフォームReveal(x) 360は、侵害被害を受ける前に、高度な脅威の検知とレスポンスで組織のサポートを行います。1日あたりペタバイト規模のトラフィックにクラウド型AIを適用し、インフラストラクチャ、ワークロード、実行中のデータの全体にラインレートの復号化と振る舞い分析を実行します。ExtraHopがネットワーク環境を完全に可視化するため、組織は不正な振る舞いの検知、高度な脅威のハンティング、あらゆるインシデントのフォレンジック調査を確実に行うことができます。ExtraHopは、IDC、Gartner、Forbes、SC Mediaなど数多くの企業から、NDR市場のリーダーと認識されています。詳細はhttps://www.extrahop.com/をご覧ください。
このプレスリリースには、メディア関係者向けの情報があります
メディアユーザーログイン既に登録済みの方はこちら
メディアユーザー登録を行うと、企業担当者の連絡先や、イベント・記者会見の情報など様々な特記情報を閲覧できます。※内容はプレスリリースにより異なります。
- 種類
- 調査レポート
- ビジネスカテゴリ
- アプリケーション・セキュリティ