2022年6月29日

トレンドマイクロ株式会社（本社：東京都渋谷区、代表取締役社長 兼 CEO：エバ・チェン　東証プライム：4704、以下、トレンドマイクロ）は、法人組織におけるIT部門と事業部門の意思決定者6,297名（日本を含む29の国と地域：6,297名、日本のみ：205名）を対象に「法人組織のアタックサーフェス（攻撃対象領域）^※1に関するセキュリティ意識調査」を2022年4月に実施しました。調査結果の概要は以下の通りです^※2。
※1 アタックサーフェス（攻撃対象領域）とは、サイバー攻撃を受ける可能性があるデバイスやソフトウェアを指します。パソコン、モバイル、IoTデバイス、サーバ、VPN機器、クラウドサービス、サプライチェーンを構成するサービスなどがあげられます。また、アタックサーフェス（攻撃対象領域）は侵入起点だけでなく、侵入後に踏み台となる機器や、重要資産が保存されているサーバなども含みます。
※2 調査結果のパーセンテージは、小数点第二位を四捨五入した数値です。そのため、個々の集計値の合計は必ずしも100とはならない場合があります。

 本調査に関するブログはこちら

「法人組織のアタックサーフェスに関するセキュリティ意識調査」結果概要

1.    アタックサーフェス（攻撃対象領域）が多様化することに懸念がある法人組織は7割以上

近年、リモートワークの広がりによるネットワークの分散化、クラウドの活用、デジタルデータの収集・解析を行うIoTやAI等を用いたシステム、サービスの導入など、事業を推進するために組織が新たに採用するデジタル資産は多様化しています。デジタル資産の多様化は、サイバー攻撃者にとっては、組織を攻撃するためのアタックサーフェス（攻撃対象領域）がより多様化することを意味します。アタックサーフェス（攻撃対象領域）の多様化は、組織のネットワークの侵害起点や侵入を拡大する領域を増やし、侵害経路を複雑化させます。

図1：多様化するアタックサーフェス（攻撃対象領域）

本調査では、アタックサーフェス（攻撃対象領域）が広がることへの懸念について「非常に懸念がある」「ある程度懸念がある」と回答した法人組織^※3は73.3％、日本は71.7％でした。
※3 本調査は法人組織におけるIT部門と事業部門の意思決定者を対象としているため、所属組織が重複している可能性があります。

図2：「アタックサーフェス（攻撃対象領域）が広がることにどの程度懸念がありますか」（全体：n=6,297、日本：n=205）

「アタックサーフェス（攻撃対象領域）が明確に定義されている」と回答した法人組織は約半数（51.3％）でした。日本に限ると34.6％であり、29の国と地域中、28位の結果となりました。日本における回答者の多くが「アタックサーフェス（攻撃対象領域）を明確にすること」が困難であると感じている、もしくはサイバーリスクマネジメントの有効策のひとつとして認識されていない可能性があります。

図3：「貴社では、デジタルアタックサーフェス（攻撃対象領域）が明確に定義されていますか」（全体：n=6,297、日本：n=205）

図4：「貴社では、デジタルアタックサーフェス（攻撃対象領域）が明確に定義されていますか」（国と地域別のグラフ）

2.    安全性に盲点があると答えた日本組織は約半数

「“当社のアタックサーフェス（攻撃対象領域）の安全性には、確実に盲点がある”に同意するか」という質問に対し「非常にそう思う」「そう思う」と答えた法人組織は61.8％、日本は45.9％でした。実際に、トレンドマイクロが日本国内で対応したサイバーインシデント^※4では、VPNなどのネットワーク機器に脆弱性が残存していたことや、組織内の機器に意図せずGlobal IPが割り当てられていたことが原因となり、外部からの直接侵入を許してしまった事例を確認しています。組織は把握しているデジタル資産のセキュリティ設定が適切か定期的にチェックすることに加え、IT管理部門が把握していないIoTデバイスを社内ネットワークに接続することや、従業員が無許可でクラウドサービスを利用することなどによってもアタックサーフェス（攻撃対象領域）が拡大することになるため、ルール整備とあわせて、利用実態を調査し管理することが重要です。
※4 対象期間は2021年1月～2022年3月

図5:「当社のアタックサーフェス（攻撃対象領域）の安全性には、確実に盲点がある」にどの程度同意されるかをお答えください（全体：n=6,297、日本：n=205）

3.    サイバーリスクの把握や管理が難しい理由は「定量化が難しい」から

デジタル資産が多様化し、サイバー攻撃が複雑化する昨今において、組織は重要資産を守るためにサイバーリスク評価を実施することが求められます。一方で「サイバーリスクの把握や管理が難しい理由」を尋ねる質問では、「定量化が難しい」という回答をする法人組織が全体で37.6％、日本に限った場合も37.6％で、最も選択率の高い回答となりました。

図6：「質問：サイバーリスクの把握や管理が難しい理由をお答えください（該当するものをすべて選択）」（全体：n=6,297、日本：n=205）

サイバーリスクは経営判断や事業方針にも影響し得る重要な管理対象リスクのひとつです。そのため、組織が晒されている脅威と組織のセキュリティ対策状況から、サイバーリスクを把握することが重要となります。一方でサイバーリスクは、無数に存在するものです。限られた予算の中で、組織にとって優先的に対応すべきサイバーリスクやとるべき対策は何なのかを決定する必要があります。

サイバーリスクの管理や評価を行う上で、有効な考え方のひとつは「攻撃シナリオに基づくリスク分析」です。これは例えば、ランサムウェアやアカウントリスト攻撃など特定の脅威が発生する場合に、初期侵入や侵入拡大をする際にどこがアタックサーフェス（攻撃対象領域）となるかを把握し、各領域における脆弱性^※5を確認・評価することで、優先的に対策すべき脆弱性を決定する手法です。
※5 ここでいう脆弱性とは、理想の防御体制と現実の防御体制の差を指します。(最新版のOSにアップデートするべきだが、ビジネス上の都合で旧OSのまま運用しているなど)

事業を行う上でデジタル資産を活用することは避けては通れない昨今において、サイバー攻撃者から見た組織のアタックサーフェス（攻撃対象領域）の多様化はますます進んでいくことが想定されます。そのため、組織は重要資産を守り、継続的にビジネスを行うためにも、まずは攻撃対象となり得る領域を明確化し、優先的に対処すべき脆弱性を特定することが求められます。

＜調査概要＞

• 調査名：法人組織のアタックサーフェス（攻撃対象領域）に対するセキュリティ意識調査
• 実施時期：2022年4月
• 調査対象：従業員250名以上の法人組織のIT部門、事業部門の意思決定関与者6,297名
• 調査国： 29の国と地域（イギリス(201名)、ベルギー(206名)、チェコ(202名)、オランダ(202名)、スペイン(200名)、スウェーデン(200名)、ノルウェー(201名)、フィンランド(202名)、デンマーク(201名)、フランス(201名)、ドイツ(202名)、スイス(212名)、オーストリア(201名)、アメリカ(610名)、イタリア(202名)、カナダ(202名)、台湾(203名)、日本(205名)、シンガポール(202名)、オーストラリア(210名)、インド(205名)、ポーランド(201名)、香港(201名)、マレーシア(205名)、フィリピン(202名)、インドネシア(202名)、メキシコ(205名)、コロンビア(204名)、チリ(207名)）
• 調査手法：オンライン調査
  

• 本リリースは2022年6月29日現在の情報をもとに作成されたものです。
• TREND MICRO、Securing Your Connected Worldは、トレンドマイクロ株式会社の登録商標です。各社の社名、製品名およびサービス名は、各社の商標または登録商標です。