Cohesity、サイバーレジリエンスに関するグローバル調査結果を発表サイバーレジリエンスに対する過大評価が事業継続や身代金の支払いへ影響

AIを活用したデータセキュリティとデータ管理ソリューションのリーダーであるCohesity (日本法人: Cohesity Japan株式会社、東京都千代田区、以下「Cohesity」) が委託して行った企業におけるサイバーレジリエンスに関する調査、The Cohesity Global Cyber Resilience Report 2024の分析結果を発表しました。これによると、調査対象企業では、サイバーレジリエンス能力と成熟度を過大評価しており、その結果、事業継続に大きな支障をきたし、回答者の大半が過去6ヶ月間に、身代金の支払いにつながっていることが明らかになりました。本調査は、8カ国のITおよびセキュリティの意思決定者3100人以上を対象にグローバル規模で実施された調査で、サイバー攻撃（特にランサムウェア）の脅威が依然として増加していることを明らかにしています。さらに、ほとんどの回答者は、「2023年と比較して2024年には、組織の事業業界に対するサイバー攻撃の脅威が増加した、または増加するだろうと」回答しました。

 

調査結果によると、5人に4人（78％）近くが、自社のサイバーレジリエンス戦略と「昨今のエスカレートするサイバー課題と脅威に対処する」能力に自信を持っていると回答しており、企業のサイバーレジリエンス戦略は、悪化するサイバー脅威の状況に対処できていることが明らかになっています。同時に、回答者の3人に2人以上（67％）が2024年に「ランサムウェア攻撃の被害者になった」、また96％が「今年、自社の業界に対するサイバー攻撃の脅威が増加するだろう、またはすでに増加している」、5人に3人近く（59％）が「2023年と比較して50％以上増加した、または増加するだろう」と回答しました。

 

組織が「支払わない」ポリシーを覆し、身代金を支払うケースも

回答者の大多数が、自社のサイバーレジリエンス戦略に「ほぼ自信がある」または「完璧に自信がある」と答えたにもかかわらず、「データの復旧とビジネスプロセスの復元、あるいはその迅速化のために身代金を支払わない」と答えた回答者はわずか6％で、83％は「身代金を支払う」と回答しました。実際、全世界の回答者の4人に3人（75％）が、「データの復旧とビジネスプロセスの復元のためなら100万米ドル以上の身代金を支払ってもよい」と回答し、5人に1人以上（22％）が「500万米ドル以上を支払ってもよい」と回答しています。

 

興味深いこととして、回答者の77％が「支払わないポリシーを持っている」と回答しているのにもかかわらず、回答者の10人に7人（69％）が、調査を受ける前の過去1年間に「身代金を支払ったことがある」と回答しています。身代金を支払ったことのある2100人以上の回答者は、過去1年間に合計で「下記の金額の身代金を支払ったことがある」と回答しています。

 

●      37％が1万米ドル～24万9999米ドルの身代金を支払った

●      23％が25万米ドル～49万9999米ドルの身代金を支払った

●      23％が50万米ドル～99万9,999米ドルの身代金を支払った

●      12％が100万米ドル～299万9,999米ドルの身代金を支払った

●      6％が300万米ドルから999万9999米ドルの身代金を支払った

●      0.33%（7人の回答者）が1000万米ドルから2500万米ドルの身代金を支払った

 

Cohesity CISO兼CIOであるBrian Spanswickは次のように述べています。

「組織にとって、ランサムウェアのような破壊的なサイバー攻撃は、『いつ』発生するかの問題であり、『もし』発生したらどう対処するかの問題ではないという現実が事業継続を脅かしています。しかし、組織は、最新のデータセキュリティ、レスポンス、およびリカバリ機能を採用することによって、サイバー攻撃や従来の事業継続シナリオに迅速に対応し、回復する能力であるサイバーレジリエンスを強化することで、この現実に正面から取り組むことができます。もう1つの現実は、組織が戦略と能力の両方において、自社のサイバーレジリエンスに大きな自信を持っていても、大多数が身代金を支払っている、または、身代金を支払う意向があるという点です。つまり、サイバーレジリエンスに対する過大評価や過信が存在しているのです」

 

組織のサイバーレジリエンスに対する自信は、復旧・復元のスピードと比例しない

サイバーレジリエンスは、事業継続のためのテクノロジー基盤です。サイバーレジリエンスとは、組織がサイバー攻撃を受けた際に、データを復旧し、ビジネスプロセスを復元する能力を定義するものです。しかし、回答者によれば、サイバーレジリエンスは依然として事業継続を脅かす課題であるとされています。

 

●      24時間以内にデータを復旧し、ビジネスプロセスを復元できると回答したのはわずか2％

●      18％が、1～3日以内にデータを復旧し、ビジネスプロセスを復元できると回答

●      32％が4～6日で復旧および復元できると回答した一方、31％は1～2週間を要すると回答

●      ほぼ6人に1人（16％）が、データ復旧とビジネスプロセスの復元に3週間以上を必要としている

 

対照的に、「サイバー攻撃や情報漏えいが発生した場合に、ビジネスへの影響を最小限に抑えるために目標とする最適な復旧時間(RTO)」について尋ねたところ、回答者の98％が「目標は1日以内」と回答しました。ほぼ2人に1人（45％）は「目標とする最適なRTOは2時間以内である」と回答しました。

 

顧客や消費者は、事業やサービスの一貫した継続性を期待しており、そのためには効果的なサイバーレジリエンスが不可欠です。しかし、サイバー攻撃やデータ侵害による事業継続の中断やダウンタイムに対する組織の許容範囲が「24時間以内である」と回答したのはわずか2％でした。実際、回答者の31%は「ダウンタイムの許容範囲は1～3日」と回答しており、53%は「4～6日」、12%は「1週間以上」と回答しています。興味深いことに、回答者のほぼ2人に1人（49％）が、「過去6ヶ月間にサイバー攻撃やデータ漏洩への対応をシミュレーションすることで、データセキュリティ、データ管理、データ復旧のプロセスやソリューション」をストレステストしたと回答しています。

 

規制や法律の強化にもかかわらず、ゼロトラストセキュリティとデータプライバシーは、依然として課題となってる

回答者の半数以上(54%)が、「ITとセキュリティ間の重要データの一元的な可視性を改善することで、異常を検知し、機密データの暴露や侵害を判断することができる」と回答しています。ゼロトラストセキュリティの原則に沿ったデータアクセス制御対策について尋ねたところ、多要素認証を導入している企業は半数をわずかに上回り、データの変更や役割ベースのアクセス制御の前に複数の承認を必要とする機能を導入している企業は半数以下という結果でした。

 

●      多要素認証 (MFA)：52％

●      定足数管理または複数の承認を必要とする管理規則：49%

●      役割ベースのアクセス制御 (RBAC)：46%

 

Cohesity CISO兼CIOであるBrian Spanswickは次のように述べています。

「サイバーレジリエンスの最も重要な要素は、主要なビジネスプロセスを復元するビジネスクリティカルなデータを復旧する能力です。しかし、まず外部や内部の脅威からデータを保護しなければ、重要なデータを復旧することはできません。まずは、多要素認証(MFA)や役割ベースのアクセス制御（RBAC）など、効果的なデータアクセス制御を導入することが必要となります。ほぼ2社に1社の組織が、機密データを保護するためにこれらの管理策を導入していないという事実は憂慮すべきことであり、組織のサイバーレジリエンスに対する重大なリスクを示しています。特に、日常的に消費者やエンドユーザーは、アカウント認証情報を保護するためにMFAを有効にする日常的に求められることが多く、、MFAはAIベースの攻撃手法に対する重要な防御策でもあります」

 

政府や公的機関が、より強固なサイバーセキュリティ、データ保護、データプライバシー対策を徹底して奨励しているにもかかわらず、「機密データを特定し、適用されるデータプライバシー法や規制を遵守するためのIT・セキュリティテクノロジー能力をすべて備えている」と回答したのは、わずか42％にすぎませんでした。しかし、回答者の79%は、「高度な脅威検知、データ分離、データ分類は、サイバー保険の加入資格やサイバー保険契約の割引を確保するために不可欠である」とも回答しています。

 

「サイバー攻撃の影響を最も受けていると思う業界・業種があれば教えてください」という質問に対して、回答者は最も影響を受けている「上位7」の業界・業種として、下記のように回答しました。

 

世界全体：

IT、テクノロジー　40%

銀行、資産管理　27%

金融サービス（保険会社を含む）　27%

通信、メディア（ストリーミングサービスなど）　24%

政府、公共サービス　23%

公益事業 （水道、電気、ガス、その他エネルギーサービス会社など）　21%

製造業　21%

 

深刻化するサイバー脅威を管理するためのAIの利点と課題

回答者の組織では現在、AIベースのサイバー攻撃や脅威に対処することが求められており、回答者の5人に4人（80％）は、「過去12カ月以内にAIベースと思われる攻撃や脅威に対応した経験がある」と回答しています。そのうち、「はい」と答えた回答者の82％が「これらの攻撃に対処し、対応するために必要なAIを活用したソリューションを持っている」と回答しました。「過去1年間にAIを利用したサイバー攻撃やサイバー脅威に対応したことがない」と回答した18％のうち、半数以下（49％）は「今後の攻撃に対抗し、対応するために必要なAIを利用したソリューションを持っている」と答え、3分の1以上（36％）が「持っていない」と答え、7人に1人近く（15％）が「わからない」と回答しました。

 

Cohesity CISO兼CIOであるBrian Spanswickは次のように述べています。

「サイバーレジリエンスが重要な理由は、攻撃者のインセンティブとモチベーションが非常に高く、攻撃対象がとてつもなく広大であるためです。サイバー攻撃やデータ漏洩が成功すると、ビジネスの継続性が大きく損なわれ、収益や企業の評判、顧客の信頼に影響を与えます。このリスクは、ITやセキュリティのリーダーだけでなく、ビジネスリーダーが対処すべき最優先事項に置かれるべきです。サイバーレジリエンスを発展させ、データセキュリティのベストプラクティスや能力を採用する上で、規制や法律は『上限』ではなく、高い『最低基準』であるべきです」

 

調査について

この調査結果は、Cohesityが委託し、Censuswide社が2024年6月27日から2024年7月18日にかけて実施した、ITおよびセキュリティ分野の意思決定者3139人（半々に近い割合）を対象とした調査に基づいています。回答者が自社の業務を最もよく表す業種として選んだ上位5業種は、IT・通信、製造、金融サービス（保険を含む）、銀行・資産管理、病院・ヘルスケアでした。Censuswide社は、マーケットリサーチ協会の会員を雇用し、MRSの行動規範とESOMARの原則に従い、英国世論調査協議会の会員でもあります。

 

追加情報

●      Cohesityのサイバーレジリエンスとデータセキュリティについてはこちらをご覧ください

●      Cohesityニュースルームはこちらをご覧ください

●      Cohesityのブログはこちらをご覧ください

●      X (旧Twitter)、Facebook、LinkedInでCohesityをフォローしてください