サイバーセキュリティが実際のビジネスに及ぼす影響を探るため、ソフォスがVanson Bourne社に委託して2023年1~2月に実施した調査結果です。この調査では14か国のIT/サイバーセキュリティを担うリーダー3,000人を対象とし、全ての回答者が従業員数100~5,000名の組織に所属しています。
この調査によりサイバーリスクに関する防衛側の現状を明らかにしていきます。
出典:ソフォスホワイトペーパー「サイバーセキュリティの現状 2023年版」
94%の組織が、過去1年間に何らかのサイバー攻撃を経験した
2023年のセキュリティの最大の懸念はデータの流出である
93%が、セキュリティ対策に不可欠なタスクを実行することが困難だと感じている
調査対象となっておりセキュリティアラートの割合は48%にとどまる
アラートの検出、調査、対応にかかる平均時間は、従業員数3,001~5,000名の組織では15時間に達する
2023年に懸念されるセキュリティリスクとしてセキュリティツールの設定ミスが最も多く挙げられている
52%は、現在、サイバー攻撃が高度になりすぎており、自社で対処することができないと回答している
55%は、サイバー脅威への対応が、ITチームの他のプロジェクトに悪影響を与えていると報告している
64%がITチームがビジネス戦略に関する問題により多くの時間を費やし、セキュリティ問題の修正にかける時間を削減することを望んでいる
ITプロフェッショナルの57%は、サイバー攻撃を受けることを心配して不眠になることがあると報告している
回答者の99%が、2023年に自社がサイバーセキュリティの脅威を受けることを懸念しています。IT担当者が自社に対するサイバー脅威として最も多く挙げたのがデータの流出(外部の攻撃者によるデータの窃取)であり、次いでフィッシング(スピアフィッシングを含む)となっています。また、ランサムウェアが第3位にランクインしています。
これら3つの脅威が連動していることが多いことを把握しておくことが重要です。つまり、フィッシングメールがきっかけとなり、データの流出やランサムウェアにつながる攻撃が多く発生しています。
| サイバー脅威 | 最も重要な懸念とした回答者の割合 |
|---|---|
| データの流出(外部の攻撃者による窃取) | 41% |
| フィッシング(標的型攻撃を含む) | 40% |
| ランサムウェア | 35% |
| サイバー恐喝 | 33% |
| サービス拒否(DDoS) | 32% |
| ビジネスメール詐欺(BEC) | 31% |
| アクティブアドバーサリ(手動でキーボードを操作する攻撃者) | 30% |
| モバイルマルウェア | 30% |
| クリプトマイナー | 22% |
| ワイパー型マルウェア | 16% |
| その他 | 0% |
| 2023年にサイバー脅威が自社に影響を与えることを心配していない | 1% |
| 不明 | 0% |
アクティブアドバーサリとは、セキュリティテクノロジーや防御側の対策に応じて、リアルタイムにキーボードを操作して、攻撃対象の環境に合った戦術、手法、手順(TTP)を適用して、検出を回避しながら攻撃を実行するサイバー攻撃者です。
アクティブアドバーサリによる攻撃により、壊滅的なランサムウェアやデータ侵害のインシデントにつながることも多く、防止することが最も困難な攻撃の1つです。
回答者の23%が、昨年、自社がアクティブアドバーサリに関連する攻撃を経験したことを報告しています。攻撃を受ける確率は組織の規模に関係なく一定になっており、すべての組織規模をセグメントに分割しても2ポイントの差異しかありません。
興味深いのは、年間収益が1,000万ドル未満の組織では、アクティブアドバーサリによる攻撃の報告率が11%にまで低下しています。これは攻撃者が意図的に収益の多い企業を標的にしていることを示唆しています。アクティブアドバーサリを検出するためには高度なスキルが必要であることから、検出されていないケースも多くあり、実際のインシデントの発生率はさらに高いと考えられます。
これらの攻撃による影響が破壊的であることから、回答者の30%が、アクティブアドバーサリを2023年のサイバー脅威最大の懸念事項の1つと回答しています。
セキュリティ管理の設定ミス(エンドポイントやファイアウォールソリューションの設定ミスなど)は、最も懸念されているセキュリティリスクであり、回答者の27.4%がサイバーリスクのトップ3に挙げています。このランキングから、セキュリティコントロールを正しく設定および展開し続けることがITチームの課題となっている一方で、攻撃者が首尾良く防御の隙を突いて攻撃を仕掛けている状況が伺われます。
ゼロデイ攻撃(未知のセキュリティ脆弱性やソフトウェアの欠陥を利用する攻撃)は26.8%で、懸念されるセキュリティリスクの第2位になっています。サイバーセキュリティに関する社内のスキル/専門知識の不足は第3位となり、回答者の25%がセキュリティリスクのトップ3に挙げています。
スキル不足とセキュリティツールの設定ミスは、直接関係します。セキュリティコントロールを適切に設定するには時間、知識、経験が必要であり、これらが不足していると防御にギャップが生じます。
| サイバーセキュリティのリスク | 回答者がトップ3の懸念に挙げた割合 |
|---|---|
| セキュリティコントロールの設定ミス(エンドポイントやファイアウォールソリューションなど) | 27% |
| ゼロデイ脅威(公開されていない手法を攻撃する脅威) | 27% |
| サイバーセキュリティに関する社内のスキルや専門知識の不足 | 25% |
| アクセスデータや認証情報の窃取 | 24% |
| 保護されていないデバイス(認識されていないデバイスを含む) | 24% |
| サイバーセキュリティツールの不足 | 23% |
| 未修正の脆弱性 | 22% |
| リモートユーザーへのアクセスの有効化 | 20% |
| 安全でないワイヤレスネットワーク | 20% |
| 社内ユーザーの脅威(偶発的に発生する問題) | 18% |
| パートナー/サプライチェーン | 18% |
| リモートアクセスツール | 18% |
| 内部ユーザー(意図的に行われる攻撃) | 17% |
| IoTデバイス | 17% |
| その他 | 0% |
| いずれも自社にとってリスクとなるサイバーセキュリティの問題ではない | 0% |
| 不明 | 0% |
自社のサイバーセキュリティリスクのトップ3は何だと思いますか?1位、2位、3位の回答の合計(回答者数=3,000)
60%の組織は、サイバーセキュリティとさまざまなIT機能が非常に緊密に連携していると考えています。サイバーセキュリティに必要な時間と労力は、IT組織に多大な影響を与えています。
過半数(55%)の組織は、サイバー脅威への対応が、ITチームによる他のプロジェクトへの取り組みに悪影響を与えていると報告しています。中でも、収益が多い組織ほど大きな影響を受けています。
また、サイバーセキュリティは緊急性が高く予測不可能であることから、ビジネスに集中した取り組みに支障を与えます。平均して64%の組織でITチームがビジネス戦略に関する問題により多くの時間を費やし、セキュリティ問題の修正にかける時間を削減することを望んでいます。ここでも、収益が大きい組織ほど、広範なプロジェクトの実行に影響が及んでいます。
また、サイバーセキュリティは、組織の財務面へも影響を与えています。単独で最も大きなコストが発生するのは、大規模なサイバーインシデントが発生したときです。ソフォスのレポート「ランサムウェアの現状2022年版」で報告しているとおり、ランサムウェアの修復にかかるコストは平均で140万ドルに上ります。
一方、セキュリティアラートの監視・調査にはセキュリティスペシャリストの継続的な雇用が必要です。
このレポートではサイバー攻撃者が防御側のビジネスに及ぼす影響をIT/サイバーセキュリティリーダー3,000人の回答を分析して紹介しています。
