2025年にサイバー攻撃を受けると予測する企業は50% - サイバー レジリエンスに関するゼットスケーラーの調査

回避できないサイバー攻撃に備えるには、ネットワークとセキュリティのアーキテクチャーを刷新し、ゼロトラストを基盤とした「Resilient by Design」アプローチでサイバー レジリエンス戦略を強化することが重要 

• 50%の企業が今後1年間に重大な障害が発生する可能性があると予測 

• 日本のITリーダーの91%が自社のサイバー レジリエンス対策が有効であると「確信している」一方で、ランサムウェア攻撃は依然として増加傾向にあり、年間数十億ドルもの被害が発生 

• AIを悪用する新たな脅威に備えた最新のサイバー レジリエンス戦略を講じている日本の組織はわずか37% 

• 脅威アクターがシステムに侵入して水平に移動し、機密データを盗むなどの高度なサイバー侵害に対抗するには、組織の対応力を多角的に評価することが急務 

クラウド セキュリティ業界を牽引するZscaler, Inc. (NASDAQ: ZS、以下ゼットスケーラー)が実施したグローバル調査により、自社がサイバー攻撃を含む将来の障害シナリオを乗り切れると確信するITリーダーの意識と実際のセキュリティ対策との間に大きなギャップがあることが明らかになりました。Sapio Researchが12か国1,700人のIT意思決定者を対象に実施したこの調査では、日本のITリーダーの33%が自社のITインフラはレジリエンスが高く、91%が現行のサイバー レジリエンス対策が有効であると考えていることがわかりました。 

しかし、この自信と相反する結果として、ITリーダーの65%が6か月以上サイバー レジリエンス戦略を見直しておらず、世界平均の40%を25%上回る結果となりました。さらに、自社の戦略がAIを悪用する新たな攻撃に対応できる最新のものであると答えた回答者は、わずか37%にとどまりました。この結果は、各リーダーの自信と実際の行動との間にギャップがあることを示しており、世界平均(45%)を8%下回っています。脅威環境が進化し、ランサムウェア攻撃がもたらす壊滅的な被害が明らかになるなかで組織に求められるのは、攻撃への対応力と攻撃に対する戦略の見直しです。   

 

サイバー レジリエンスの確立には、経営層の関与と緊急度の認識が不可欠  

自信の度合いと現行戦略との間のギャップを検証したところ、組織の経営層からの不十分なサポートが主な摩擦要因となっていることがわかりました。大半の経営層は堅牢なサイバー レジリエンス戦略の重要性が高まっていることを理解しているものの、それを最優先事項とみなす日本の経営層は少数(40%)にとどまっています。この優先順位付けは、サイバー レジリエンス戦略に割り当てられる予算額にも反映されており、43%が現在の投資規模では日本で高まり続けるセキュリティのニーズに対応できないと回答しています。総保有コストの観点からも、旧式のセキュリティ モデルに投資し続けるのは効率が悪く、ゼロトラストのような新しいアプローチの採用が必要であることは明らかです。 

また、経営層の大半がサイバー レジリエンスに関与しておらず、ほとんどの組織では、ITリーダーとその部門がサイバー レジリエンス戦略を策定していることがわかりました。最高情報セキュリティ責任者(CISO)がレジリエンス戦略の策定に積極的に参加していると回答したITリーダーは53%となっています。 

ゼットスケーラーの創業者で会長兼CEOのジェイ・チャウドリー(Jay Chaudhry)は、次のように述べています。「当社のレポートの統計からも、重大な障害の発生はもはや単なる可能性ではなく、必然といえます。今後確実に発生するインシデントが事業継続に重大な影響を及ぼす前に対処し、被害を軽減するには、レジリエンスが不可欠です。サイバー レジリエンスは、ビジネス全体のレジリエンスの基盤となるものであり、従来のファイアウォールやVPNでは持続的な攻撃を防ぐことはできません。高度な脅威から組織を守るにはゼロトラスト アーキテクチャーが不可欠です。経営層はIT部門と連携してゼロトラストを基盤とした強固なサイバー レジリエンス戦略を策定し、AIを使った高度な攻撃に備え、その影響を最小限に抑える必要があります。これこそが、私たちが『Resilient by Design』と呼ぶ考え方なのです」 

対応や復旧よりも過度に重視されている予防 

ITリーダーの過半数(50%)が自社では予防が過度に優先されていると回答しており、サイバー セキュリティ戦略と予算の5分の2以上(43%)が、対応や復旧ではなく、予防に充てられている実態が明らかになりました。ほとんどの組織が障害発生後の対応策を十分に整備していないため、業務の早期復旧が難航する可能性が懸念されます。ただし、予防を重視している組織でも、約半数がサイバー攻撃の影響を最小限にとどめ、被害の深刻化を軽減するために、「リスクの高いユーザーの振る舞いを評価する適応型対応(60%)」、「情報漏洩防止(DLP) (59%)」、「ブラウザー分離(54%)」といったセキュリティ対策を採用しています。 

ゼットスケーラー株式会社の代表取締役である金田博之は、次のように述べています。「AIを悪用した攻撃を仕掛ける脅威の増加やデジタル化への継続的なプレッシャーにより、攻撃対象領域は依然として制御不能なまま拡大し続けています。ゼロトラスト アーキテクチャーを基盤とした予防的なレジリエンス戦略を導入すれば、攻撃を受けた後でもより迅速に回復できる態勢を確保できます。組織はネットワークとセキュリティのアーキテクチャーを刷新し、ゼロトラストの『Resilient by Design』アプローチを採用して、デジタル時代の難題を乗り切る必要があります」 

ゼロトラスト アーキテクチャーで実現する「Resilient by Design」アプローチ 

サイバー レジリエンスのリスクを軽減するには、可視性と制御をあらかじめセキュリティ戦略に組み込むことが重要です。AI活用型のクラウド セキュリティ プラットフォームからのインサイトに基づいて障害シナリオをより迅速かつ詳細に把握し、インシデントの影響範囲を軽減することで、レジリエンス態勢は強化されます。ゼットスケーラーはこれを「Resilient by Design」アプローチで実現します。サイバー脅威は急速に進化、高度化しているため、ゼットスケーラーはAIを活用して、変化するリスクに応じてアクセスを動的に制御します。Zscaler Zero Trust Exchangeは、攻撃チェーンの以下の4つのフェーズすべてにわたってリスクを低減し、「Resilient by Design」アプローチをサポートします。 

• 攻撃対象領域を最小化 

• 初期の侵入を防止 

• ラテラル ムーブメントを排除 

• 情報漏洩を阻止 

Zscaler Cyber Resilience Reportの調査方法 

2024年12月、ゼットスケーラーはSapio Researchに委託し、12の市場(オーストラリア、フランス、ドイツ、インド、イタリア、日本、オランダ、シンガポール、スペイン、スウェーデン、英国およびアイルランド、米国)の1,700人のIT意思決定者(ITリーダー)を対象に調査を実施しました。これらのITリーダーが属する業界は多岐にわたり、従業員500人以上の企業に勤務しています。 

ゼットスケーラーについて 

ゼットスケーラー(NASDAQ: ZS)は、より効率的で、俊敏性や回復性に優れたセキュアなデジタル トランスフォーメーションを加速しています。Zscaler Zero Trust Exchange™プラットフォームは、ユーザー、デバイス、アプリケーションをどこからでも安全に接続させることで、数多くのお客様をサイバー攻撃や情報漏洩から保護しています。世界150拠点以上のデータ センターに分散されたSSEベースのZero Trust Exchange™は、世界最大のインライン型クラウド セキュリティ プラットフォームです。