英国政府は先日、2023年サイバーセキュリティ侵害調査を発表しました。この調査は、2022年の英国におけるサイバーセキュリティの現状に関する興味深い概要を提供するとともに、世界中のあらゆる組織に適用できる、サイバーセキュリティの向上に役立つ実用的な情報を提供しています。さらに、この新しい報告書は、英国の国家サイバー戦略にも沿っています。
この調査は、2022年9月27日から2023年1月18日の間に、英国企業2,263社、英国登録慈善団体1,174団体、教育機関554団体を対象に電話とオンラインで実施したインタビューに基づいています。
ジャンプ先:
- 企業はサイバーセキュリティのリスクをどのように特定しているのでしょうか?
- 企業はサプライチェーンのリスクをどのように扱っているのでしょうか?
- サイバー衛生は必須だが、中小企業にとっては難しい
- サイバーセキュリティの最大の脅威は何ですか?
- これらのセキュリティインシデントはどのように処理されますか?
- サイバーセキュリティの実践を改善する2つの方法
企業はサイバーセキュリティのリスクをどのように特定しているのでしょうか?
調査では、サイバーセキュリティリスクを特定するために以下の措置を講じている企業の割合が明らかになりました(図A)。
- 使用したセキュリティ監視ツール(30%)
- サイバーセキュリティリスクの評価(29%)
- スタッフのテスト(例:模擬フィッシング演習)(19%)
- サイバーセキュリティ脆弱性監査を完了(15%)
- 侵入テストを実施(11%)
- 脅威インテリジェンスへの投資(9%)
図A
組織のプロファイルによっては、これらの対策をすべて実施することが期待されるわけではありません。医療、社会福祉、ソーシャルワークの分野では、これらの対策のいずれかを講じている割合が平均的な企業よりも大幅に高く(74%対51%)、次いで金融・保険業(71%)、情報通信業(67%)となっています。
企業はサプライチェーンのリスクをどのように扱っているのでしょうか?
サプライチェーン攻撃が増加しているにもかかわらず、直接のサプライヤーがもたらすリスクを検討していると答えた企業は全体でわずか13%にとどまっています。より広範なサプライチェーンに関連するリスクを検討するとなると、その数は8%に減少します(図B)。
図B
金融・保険業界の企業はサプライヤーに関連するリスクを監視する傾向が高く(26%)、続いて情報・通信業界(21%)となっています。
直近のサプライヤーリスクの監視は増加しており、2021年から2023年の間に36%から55%に増加しています。主な制限に対処するのは依然として困難です。主な制限は次のとおりです。
- タスクを達成するために必要な時間とお金。
- サプライヤーから情報を収集できない。
大企業の過半数が、情報やガイダンス(例えば、国家サイバーセキュリティセンターなど)や監査人からのフィードバックに後押しされ、初めてサプライヤーのサイバーリスクの見直しに着手しました。しかし、小規模な組織では、こうしたリスクの見直しはあまり行われていません。
こうしたサプライチェーンのセキュリティリスクに対する認識は、さらに高める必要がある。インタビューを受けた人の中には、このインタビューで初めてこのことについて考えたと述べた人もいた。
サイバー衛生は必須だが、中小企業にとっては難しい
レポートで述べられているように、最も一般的なサイバー脅威は比較的単純なものです。組織を保護するために、マルウェア対策の更新、クラウドへのデータバックアップ、権限の制限など、一連のサイバー衛生対策を講じることができます(図C)。
図C
最も一般的でないサイバーセキュリティ対策は、ネットワークとアプリケーションの 2 要素認証、スタッフと訪問者用の Wi-Fi ネットワークの分離、ユーザーの監視、リモート従業員用の VPN、ソフトウェア更新の適用です。
調査によると、中小企業におけるサイバー衛生の課題は深刻化しています。これらの企業は、COVID-19パンデミックの開始以降、インフレ、エネルギー価格の上昇、そして経済全体の不確実性により、様々なレベルでコスト増加に直面していると報告しています。その結果、中小企業や低所得の慈善団体は様々なサイバー衛生対策を縮小せざるを得なくなりました。一方、大企業はサイバー衛生レベルを維持し、対策を縮小することはありませんでした。
サイバーセキュリティの最大の脅威は何ですか?
企業の約3分の1と慈善団体の4分の1がサイバーセキュリティ侵害または攻撃を報告しており、規模の大きい企業ほど侵害や攻撃を検知する傾向が強かった。最も一般的な侵害またはサイバー攻撃の種類は以下のとおりである(図D)。
- フィッシングは依然として最大の脅威であり、企業では 79%、慈善団体では 83% を占めています。
- なりすましは、企業に対するサイバーセキュリティ攻撃の 31% を占め、慈善団体に対する攻撃の 29% を占めています。
- マルウェアリスクは、企業では 11%、慈善団体では 9% を占めています。
- オンラインバンキング アカウントのハッキングまたはハッキング未遂は、企業の場合は 11%、慈善団体の場合は 6% です。
図D
ランサムウェアは組織にとって7番目に大きな脅威(4%)です。企業の57%と慈善団体の43%は、身代金を支払わないという規則またはポリシーを定めています。しかし、企業の21%と慈善団体の28%が、身代金の支払いに関する組織のポリシーを把握していないと回答しており、この点については不確実性があります。
これらのセキュリティインシデントはどのように処理されますか?
企業と慈善団体の4分の1から3分の1が、セキュリティインシデント発生時または発生後に具体的な役割と責任を定義しています。約4分の1が外部への報告と連絡先に関するガイダンスを策定していますが、正式なインシデント対応計画を策定している企業はわずか21%、慈善団体はわずか16%です。企業と慈善団体の13%が、外部コミュニケーションおよび広報活動計画を策定しています(図E)。
図E
組織における将来のインシデント防止は、主にスタッフへの追加トレーニングや情報提供によって実現されます。企業や慈善団体のうち、ウイルス対策製品やマルウェア対策製品の導入、変更、更新、ファイアウォールやシステム構成の変更、パスワードの更新を行ったのは10%未満でした。4分の1以上の組織は、何の対策も講じていません(図F)。
図F
サイバーセキュリティの実践を改善する2つの方法
英国政府の報告書は、COVID-19以降、小規模組織におけるコストの増大と財務上の課題を浮き彫りにしており、その結果、回答者の一部ではサイバーセキュリティの優先順位が低下していることが明らかになっています。大規模組織ではセキュリティの優先順位は変わっていませんが、国際的に大きな存在感を持つ組織の中には、地政学的事象や国家主体からの脅威を受けて具体的な対策を講じたことを認めているところもあります。まとめると、サイバーセキュリティのベストプラクティスは、あらゆる規模の組織にとって改善の余地があるということです。
サイバーセキュリティ担当者やIT担当者と、経営陣を含む幅広いスタッフ間のコミュニケーションを改善し、可視性を高めることで、セキュリティの向上につながります。特に、ITチームとサイバーチームがこれらの関係において信頼関係を築くことができれば、なおさらです。これは、優れたサイバーセキュリティ研修や意識向上と相まって実現することが多いでしょう。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
