Cohesity、日本企業におけるサイバーレジリエンスに関する調査結果を発表

多数の組織の大半で3日以内にデータ復旧および通常の業務プロセスの復元が不可能に

AIを活用したデータセキュリティとデータ管理ソリューションのリーダーであるCohesity (日本法人: Cohesity Japan株式会社、東京都千代田区、以下「Cohesity」) が委託して行った日本企業におけるサイバーレジリエンスに関する調査結果を発表しました。これによると、調査対象企業では、サイバーレジリエンスの能力と成熟度を過大評価しており、その結果、事業や業務継続に大きな支障をきたし、身代金の支払いにつながっていることが明らかになりました。日本のITおよびセキュリティの意思決定者301人を対象に実施されたこの調査では、ランサムウェアなどのサイバー攻撃が広く流行していることが確認され、回答者の大多数が「過去6ヶ月間にランサムウェアの被害を受け」、「ほとんどの回答者が過去1年間に身代金を支払った」と回答しました。さらに、ほとんどの回答者は、「2023年と比較して2024年には、各々の企業が属する産業分野に対するサイバー攻撃の脅威が増加した、または増加するだろう」と回答しました。

調査結果によると、回答者の76%が、自社のサイバーレジリエンス戦略と「昨今のエスカレートするサイバー課題と脅威に対処する」能力に自信を持っていると回答しており、企業のサイバーレジリエンス戦略は、悪化するサイバー脅威の状況に対処できていることが明らかになっています。[1]同時に、回答者の71％が2024年に「ランサムウェア攻撃の被害者になった」、また98％が「今年、自社の業界に対するサイバー攻撃の脅威が増加するだろう、またはすでに増加している」、「77％が2023年と比較して50％以上増加するだろう」と回答しました。

組織が「支払わない」ポリシーを覆し、身代金を支払うケースも

回答者の大多数が、自社のサイバーレジリエンス戦略に「ほぼ自信がある」または「完璧に自信がある」と回答したにもかかわらず、その79％は、「データの復旧とビジネスプロセスの復元、またはその迅速化のために身代金を支払う」と回答し、「支払わない」と回答したのはわずか12％でした。「身代金の金額によっては支払うかもしれない」と回答したのは9％でした。 実際、回答者の77％は、「データの復旧とビジネスプロセスの回復のためなら身代金100万米ドル以上を支払ってもよい」と回答し、24％は「500万米ドル以上を支払ってもよい」と回答しています。

興味深いこととして、回答者の70％は「調査前の過去1年間に身代金を支払ったことがある」と回答しています。その一方で、85％が「自社において身代金を支払わない」ポリシーがある」と回答しています。過去1年間に代金を支払ったことのある回答者210人は、合計[2]で以下の金額の身代金[3]を支払ったと回答しています。

●      36％が1～39,700,000円／1～249,999米ドルの身代金を支払った

●      26％が39,700,110～79,400,000円／250,000～499,999米ドルの身代金を支払った

●      20% が79,400,000～158,800,000円／500,000～999,999米ドルの身代金を支払った

●      3％が476,500,000～794,400,000円／1,000,000～2,999,999米ドルの身代金を支払った

●      1％が794,400,000～1,588,800,000円／3,000,000～9,999,999米ドルの身代金を支払った

Cohesity Japan株式会社 技術本部 本部長である笹 岳二は次のように述べています。

「組織にとって、ランサムウェアやワイパーマルウェアのような破壊的なサイバー攻撃は、『いつ』発生するかの問題であり、『もし』発生したらどう対処するかの問題ではないという現実が事業継続を脅かしています。しかし、組織は、最新のデータセキュリティ、レスポンス、およびリカバリ機能を採用することによって、サイバー攻撃や従来の事業継続シナリオに迅速に対応し、回復する能力であるサイバーレジリエンスを強化することで、この現実に正面から取り組むことができます。もう1つの現実は、組織が戦略と能力の両方において、自社のサイバーレジリエンスに大きな自信を持っていても、大多数が身代金を支払っている、または、身代金を支払う意向があるという点です。つまり、サイバーレジリエンスに対する過大評価や過信が存在しているのです」

組織のサイバーレジリエンスに対する自信は、復旧・復元のスピードと比例しない

サイバーレジリエンスは事業継続のためのテクノロジー基盤です。サイバーレジリエンスとは、組織がサイバー攻撃を受けた際に、データを復旧し、ビジネスプロセスを復元する能力を定義するものです。しかし、日本の回答者によれば、サイバーレジリエンスは依然として事業継続を脅かす課題であるとされています。

●      24時間以内にデータを復旧し、ビジネスプロセスを復元できると回答したのはわずか2％

●      13％が、1～3日以内にデータを復旧し、ビジネスプロセスを復元できると回答

●      28％が4～6日で回復および復元できると回答した一方、37％は1～2週間を要すると回答

●      17%はデータ復旧とビジネスプロセスの復元に3週間以上を必要としている

対照的に、「サイバー攻撃や侵害事件が発生した場合に、ビジネスへの影響を最小限に抑えるために目標とする最適な復旧時間(RTO)」について尋ねたところ、回答者の95％が「目標は1日以内」と回答しましたが、実際に「同じ期間内にデータを復旧し、ビジネスプロセスを復元できた」と回答したのはわずか2％でした。特に注目すべきは、38％が「目標とする最適なRTOは2時間以内である」と回答したことです。

顧客や消費者は、事業やサービスの一貫した継続性を期待しており、そのためには効果的なサイバーレジリエンスが不可欠です。しかし、サイバー攻撃やデータ漏洩による事業継続の中断やダウンタイムに対する組織における許容範囲が24時間以内と回答した回答者は、わずか0.33％でした。実際、日本の回答者の32％が「ダウンタイムの許容範囲は1〜3日以内」、54％が「4〜6日」、10％が「1週間以上」と回答しています。興味深いことに、回答者の45％が、「過去6ヶ月間にサイバーイベントやデータ漏洩への対応をシミュレーションすることで、データセキュリティ、データ管理、データ復旧のプロセスやソリューション」をストレステストしたと回答しています。

規制や法律の強化にもかかわらず、ゼロトラストセキュリティとデータプライバシーは、依然として課題となっている

異常を検知し、機密データの暴露や侵害を判断するために「ITとセキュリティ間で重要データを一元的に可視化」していると回答したのはわずか38％でした。また、ゼロトラストセキュリティの原則に沿ったデータアクセス制御対策について尋ねたところ、日本では、多要素認証、複数の承認を必要とするQuorumまたは管理ルール、役割ベースのアクセス制御を導入している組織は半数も満たしませんでした。

●      多要素認証 (MFA)：48%

●      役割ベースのアクセス制御 (RBAC)：45％

●      定足数管理または複数の承認を必要とする管理規則：38%

Cohesity Japan株式会社 技術本部 本部長である笹 岳二は次のように述べています。

「サイバーレジリエンスの最も重要な要素は、主要なビジネスプロセスを復元するビジネスクリティカルなデータを回復する能力です。しかし、まず外部や内部の脅威からデータを保護しなければ、重要なデータを復元することはできません。まずは、多要素認証(MFA)やその他の職務分掌のような効果的なデータアクセス制御を導入することが必要となります。機密データを保護するために、このような管理策を実際に導入している組織が半数に満たないという事実は、憂慮すべきことであり、組織のサイバー回復力に対する重大なリスクを示しています。特に、日常的に消費者や組織のエンドユーザーは、アカウント認証情報を保護するためにMFAを有効にすることがしばしば（そして当然ながら）求められており、MFAはAIベースの攻撃手法に対する重要な防御策でもあります」

政府や公的機関が、より強固なサイバーセキュリティ、データ保護、データプライバシー対策を徹底して奨励しているにもかかわらず、全回答者のうち、「機密データを特定し、適用されるデータプライバシー法や規制を遵守するためのIT・セキュリティテクノロジー能力をすべて備えている」と回答したのは、わずか36%にすぎませんでした。しかし、回答者の80%は、「高度な脅威検知、データ分離、データ分類は、サイバー保険の加入資格やサイバー保険契約の割引を確保するために不可欠である」とも回答しています。

「サイバー攻撃の影響を最も受けていると思う業界・業種があれば教えてください」という質問に対して、回答者は日本で最も影響を受けている「トップ7」[4]の業界・業種として、以下のように回答しました。

1. IT、テクノロジー　32%

2. 金融サービス（保険会社を含む）　27%

3. 通信、メディア（ストリーミングサービスなど）　24%

 銀行、資産管理　24%

 政府、公共サービス　24%

4. 製造業　23%

5. 公益事業 （水道、電気、ガス、その他エネルギーサービス会社など）　22%

深刻化するサイバー脅威を管理するためのAIの利点と課題

回答者の企業では現在、77％以上が、過去1年以内にAIベースと思われる攻撃や脅威に対応した経験があるなど、AIベースのサイバー攻撃やサイバー脅威に対抗することが求められています。そのうち、「はい」と答えた回答者の81％は「これらの攻撃に対抗し、対応するために必要なAIを活用したソリューションを持っている」と回答しました。「過去1年間にAIを利用したサイバー攻撃やサイバー脅威に対応したことがない」と回答した18％のうち、36％は「これらの攻撃に対抗し対応するために必要なAIを利用したソリューション を持っている」と回答、 47％は「持っていない」と回答、17％は「わからない」と回答しました。

 

Cohesity Japan株式会社 技術本部 本部長である笹 岳二は次のように述べています。

「攻撃者のモチベーションは非常に高く、攻撃対象は非常に広いため、防御策を完全に信用すること非現実的です。サイバー攻撃やデータ漏洩が成功すると、ビジネスの継続性が大きく損なわれ、収益や企業の評判、顧客の信頼に影響を与えます。このリスクは、ITやセキュリティのリーダーだけでなく、ビジネスリーダーが対処すべき最優先事項に置かれるべきです。サイバーレジリエンスを発展させ、データセキュリティのベストプラクティスや能力を採用する上で、規制や法律は「上限」ではなく、高い「最低基準」であるべきです」

調査について

この調査結果は、Cohesityが委託し、Censuswide社が2024年6月27日～2024年7月18日に実施した、日本のITおよびセキュリティ分野の意思決定者301名（半々に近い割合）を対象とした調査に基づいています。回答者が自社の業務を最もよく表す業種として選んだ上位4業種は、IT・通信、金融サービス（保険会社を含む）、製造、病院・ヘルスケアでした。Censuswide社は、Market Research Societyの会員を雇用し、MRSの行動規範とESOMARの原則に従い、英国世論調査協議会の会員でもあります。

追加情報

●      Cohesityのサイバーレジリエンスとデータセキュリティについてはこちらをご覧ください

●      Cohesityニュースルームはこちらをご覧ください

●      Cohesityのブログはこちらをご覧ください

●      X (旧Twitter)、Facebook、LinkedInでCohesityをフォローしてください

[1] 回答者には、調査の冒頭にNIST によるサイバーレジリエンスの定義が提示されました： 「サイバーリソースを使用する、または、サイバーリソースによって可能になるシステムに対する悪条件、ストレス、攻撃、侵害を予測し、それに耐え、回復し、適応する能力。サイバーレジリエンスは、サイバーリソースに依存するミッションまたはビジネス目標を、競合するサイバー環境において達成できるようにすることを意図している」

[2] 注：このデータの日本円金額は10万円未満を四捨五入しています。ただし、本調査の実施時点では、日本円の金額を米ドルの数値帯に直接置き換えて質問しています。

[3] 回答者は、過去1年間に支払った身代金の額を選択するか、複数の身代金を支払った場合は、支払った身代金の合計額を選択するよう質問されています。

[4] 回答者は、「上位7つ」を選択するよう求められました。このため、このデータセットでは、パーセンテージの合計が100％を超えています。