サイバー攻撃はもはや企業や組織がたまたま遭遇するものではなくなった。攻撃を受けない方が珍しい。
自社が狙われるのは当たり前に
Sophosが2023年4月4日に発表した調査結果によると、組織が2023年内になんらかの形のサイバー攻撃を受ける確率の見積もりはこうだ。
自社に影響を及ぼす年内のサイバー脅威について懸念していないと答えたのは、わずか1%だった。
ほぼ全ての組織(94%)が2022年中に何らかの形でサイバー攻撃を経験しており、状況が悪化している(注1)。調査対象のITおよびサイバーセキュリティリーダーが懸念するサイバー脅威の上位5つは次の通りだ。
・「データ盗難」(41%が回答)
・「フィッシング」(40%)
・「ランサムウェア」(35%)
・「サイバー空間における恐喝」(33%)
・「DDoS攻撃」(32%)
明らかに攻撃側が有利な状況が続いている。攻撃側は自動化や「as a Service」の利用、偽のデジタルアイデンティティーを使ったなりすまし、攻撃手法を対象や環境に適応して向上させる能力などを用いて、高度で大規模な戦略を組み立てているからだ。
絶え間なく続く悪意のある活動に組織は動揺している。なぜなら、社内では対処が難しい高度な攻撃を予想しているからだ。Sophosの調査によればサイバー脅威によって大多数の組織がこう考えている。「(攻撃への対策や対応に手間を取られるために本来の)ITプロジェクトの達成や戦略的な問題に時間を割くことができなくなっている」
Sophosのジョン・シアー氏(コマーシャル担当フィールドCTO《最高技術責任者》)は、次のように述べた。「多くの組織が圧倒され、日常の運用タスクと戦略的イニシアチブを両立させるのに苦労している。対応が常に後手に回っているため、状況を改善できない消極的な状況が組織に現れている」
自社のセキュリティインフラを見直そう
回答者のほぼ全員(93%)が、セキュリティ運用に不可欠なタスクは依然として達成困難であり、セキュリティツールが出力した警告の半数しか調査できていないと回答した。回答者の4分の3は、サイバー攻撃の根本的な原因を特定することが困難だと述べた。
「セキュリティ管理がうまくいっていないというよりも、システム全体が機能していないのだと考えられる。多くの複雑なシステムと同様に、セキュリティインフラストラクチャも、多くのレイヤーを同時に運用し、全体に冗長性を持たせることが必要だ」(シアー氏)
「現状は組織があるべき姿から程遠い」とシアー氏は言う。組織は直ちに自分たちの能力を率直に評価し、ギャップを特定し、それらの問題を軽減するための計画を策定すべきだ。
「リスクを過小評価し、自社の能力を過大評価する場合があまりにも多い。その結果として、多くの組織が、真実から懸け離れた安全な状態にあるかのように考え、行動している」(シアー氏)
Sophosの調査はITとサイバーセキュリティを担当する日本(300人)を含む14カ国のリーダー3000人を対象とした調査に基づいている。調査は2023年1〜2月に実施された。調査対象は全員、従業員数100〜5000人の組織に所属していた。
出典:Cyberattacks hit almost all companies last year, Sophos says(Cybersecurity Dive)
注1:The State of Cybersecurity 2023: The Business Impact of Adversaries(Sophos)
© Industry Dive. All rights reserved.
関連記事
- サイバー攻撃、自社の本当のリスクを知っているのは誰?
サイバー攻撃を受けた企業が果たすべき責任は重くなっている。企業として一貫した対応を取るのは取締役会の責任だ。だが、サイバー攻撃に対する認識が必ずしも一致していないようだ。 - 週末や休日は「稼ぎ時」、サイバー攻撃者が狙う理由
サイバー攻撃者は攻撃対象が弱体化しているときを狙う。週末や休日、夜間だ。防御側の対応が遅れるため、攻撃が通りやすい。このような時間帯はどの程度危険なのだろうか。