グローバル調査Cyber Risk Index 2021年下半期-世界で高まるランサムウェアの脅威-
地政学リスクに起因する世界的なサイバー攻撃の高まりを受け、ITセキュリティガバナンスの強化が一層重要になっています。世界4地域におけるサイバーリスク調査で明らかになった各地域の脅威や対策の動向から、対策のポイントを探ります。
Cyber Risk Indexの概要
トレンドマイクロはポネモン研究所(Ponemon Institute)※と共同で、組織が直面しているサイバーリスクと対策状況の測定を目的とした調査を継続的に行っており、この結果に基づきサイバーリスクの評価指標(Cyber Risk Index)を算出し、公表しています。2021年下半期の調査は、北米、ヨーロッパ、アジア太平洋、中南米の各地域の3,441の法人組織におけるITセキュリティ関与者を対象に実施しました。
Cyber Risk Index(CRI)は、次の2つの指標を用いて組織における総合的なサイバーリスクレベルを算出しています。
・Cyber Preparedness Index: CPI
自組織を標的としたサイバー攻撃に備える能力。CPIの数値が高いほどリスクが低い状況であることを示す。
・Cyber Threat Index: CTI
CRIが決定された時点における、自組織に対する脅威の状況。CTIが高いほど、よりリスクが高い状況であることを示す。
CRIは、CPIからCTIを引くことで算出され(CRI=CPI-CTI)、「-10」から「+10」のスケール評価で示されます。このスケールがマイナスになるほどリスクレベルが高いことを表します。
※2002年設立された研究所で、企業や政府の責任ある情報活用やプライバシー管理を促すため、研究や啓発活動を行っています。また情報資産やITインフラのセキュリティに影響を与える重要な問題について実証的な研究を進めています。https://www.ponemon.org/
調査結果の詳細レポートはこちら(グローバル調査に見る地域別サイバーリスク動向)
レポートダウンロード
脅威の状況を示すCTI(Cyber Threat Index)の数値を比較すると、ヨーロッパ、アジア太平洋、中南米の3地域では数値が下がり、北米地域では上がっています。北米とアジア太平洋地域においては、サイバー攻撃への備えの能力を示すCPI(Cyber Preparedness Index)が改善されたことで、全体的なCRIが向上する結果となりました。
・北米地域:CRIは上半期から改善も、リスクは高い状況のままである(Elevated Risk)。CPIは大きく改善も、CTIはわずかながらに悪化。
・ヨーロッパ地域:CRI は改善したものの、依然リスクは高い状況(Elevated Risk)。 CPIは悪化しているが、CTIの改善を受け、全体としてCRIが改善された結果になっ
た。
・アジア太平洋地域:CRIが2021年上半期から大きく改善(Moderate Risk)。これは脅威の状況を示すCPI、サイバー攻撃への備えの能力を示すCTIがともに改善したことによる。
・中南米地域:CRIは上半期から悪化し、リスクレベルが高い状況になった(Elevated Risk)。CPIが上半期から大きく落ち込んだことが要因。
CRI評価から、2021年下半期において、サイバー攻撃への準備状況が最も低く、セキュリティリスクが高い状態となったのは、中南米の組織でした。アジア太平洋地域では、CRI がプラスとなり、他地域に比べサイバー脅威への備えが整っていることが示されました。
セキュリティリスクの懸念
次に、組織のセキュリティに関する懸念事項について見ていきます。
サイバー脅威2021年下半期において、世界全体で上位を占めた脅威は次の通りです。
1. ランサムウェア
2. フィッシング、ソーシャルエンジニアリング
3. サービス拒否 (DoS)
4. ボットネット
5. 中間者攻撃(Man In The Middle Attack)
【質問】今後12ヶ月の間に、あなたの組織が経験する可能性のあるサイバー脅威について教えてください(用意した脅威の選択肢について「非常に高い」「高い」「やや高い」「高くない」「高くない」の5段階評価で回答)
ランサムウェアは、すべての組織にとっての大きな懸念事項であり、世界で1位になったのは当然のことと言えます。 フィッシングやソーシャルエンジニアリングは、ほとんどの攻撃で利用されており、主に組織ネットワークへの初期侵入の際に利用されます。
興味深い脅威の1つがDoSです。Ransomware-as-a-Service(RaaS)を営むグループが、複数の恐喝攻撃でこれを採用していることから上位に上がったと考えられます。
セキュリティリスクの高いITインフラ
調査によると、セキュリティリスクの高いITインフラの上位は以下の結果でした。
1. モバイル/リモートの従業員
2. クラウドインフラとプロバイダー
3. サードパーティアプリケーション
4. 悪意のあるインサイダー
5. スマートフォンなどのモバイル端末
【質問】組織のITインフラのセキュリティリスクについて教えてください(用意したIT環境の選択肢について「非常に高いリスク」「高いリスク」「中程度のリスク」「低いリスク」「非常に低いリスク」の5段階評価で回答)
パンデミックによって、勤務がオフィスから在宅へとシフトしたことで、多くの組織が、在宅環境における従業員のセキュリティを早急に整備する必要に迫られました。モバイル/リモート従業員の課題はすべての地域で上位5つに入っており、すべての地域地域共通の課題であることがわかります。
また、パンデミック時にはクラウドの導入が加速したため、この領域が大きな懸念材料となっているのは当然のことでしょう。在宅勤務とクラウドの導入は、サードパーティアプリケーションへの依存度が高くなることを意味し、回答者はこれをリスクと認識しています。クラウドインフラやサードパーティアプリケーションのリスクは、調査対象4地域のうち3地域に共通する課題で、優先的な取り組みが必要な領域ということが言えます。
予測されるサイバー攻撃の被害
回答者はサイバー攻撃による被害についても懸念を強くしています。76%の回答者が、今後1年以内にデータ侵害を経験する可能性が「非常に高い」と回答しているのです。上半期の調査からは、10%減少したものの、サイバー攻撃への備えが十分にできていない状況をITセキュリティの関与者が認識している、ということを改めて示しています。
セキュリティリーダーが取り組むべき事項
サイバー攻撃への準備状況を聞いた31問の中で、世界的にスコアが低く、セキュリティリスクが高まっている領域、つまり今後組織が優先的に取り組むべきポイントをご紹介します。
・ DevOps環境におけるセキュリティのサポート
・ CISOによる強固なセキュリティ体制を実現するための十分な権限とリソースの保有
・ セキュリティポリシー、運用プロセス基準、および外部要件に違反する行為への厳しい取り締まり
・ ビジネスにおいて機微な情報資産やアプリケーションの可視化
・ CISOなどのセキュリティリーダーが、経営層に直接レポートする組織体制の整備
・ 機械学習、自動化、オーケストレーション、分析ツールなど、最新のセキュリティ技術への投資
・ サードパーティのセキュリティリスク(クラウドやサプライチェーン全体を含む)を評価するためのリソースの投下
パンデミックは組織のITインフラの進展を後押ししました。在宅勤務に伴うデバイスの増加やクラウドシフトなどにより、サイバー攻撃の対象となる領域は拡大しています。これに対処していくためには、攻撃対象領域全体をリスク管理できる統合的なサイバーセキュリティ・プラットフォームへの投資を検討していくべきです。
組織的な取り組みも不可欠です。サードパーティのセキュリティ管理は、セキュリティチームだけではできません。そしてセキュリティに適切な投資をしていくためには、経営層の理解も必要です。今回の調査などセキュリティ動向をまとめたレポートやNISTのCyber Security Frameworkなどのフレームワークを参考に自組織のリスク評価・分析を行い、その結果を継続的に経営層に報告することで、正しい理解と支援を得られるでしょう。
調査結果と考察をまとめたレポートをご用意しました。
地域ごとのサイバー攻撃の脅威レベルと対応能力の傾向をより詳しくご覧いただけます。
グローバルのITガバナンスの計画や推進などににお役立てください。
Security GO新着記事
2024年の法人組織のAI活用動向~「生成AIとセキュリティに関する意識調査」考察~
(2025年1月15日)
VPN、サイバー攻撃被害に共通するセキュリティの注意点
(2025年1月15日)
ランサムウェアの被害金額は平均2.2億円~最新調査から被害傾向を読み解く~
(2025年1月14日)