コロナ祸を経て社会のデジタル化が一段と进んだことに伴い、サイバー攻撃もより高度に、より巧妙になりました。代表例がランサムウェアによる攻撃で、产业界に喫紧の课题を突きつけています。
本调査においても、业务上の被害があったサイバーインシデントとしてランサムウェア攻撃を挙げた公司が最も多いという结果になりました。また、过去1年间に1,000万円以上の被害额が発生した公司が30%を占め、1亿円以上の被害が発生した公司もサイバーセキュリティサーベイ2022(以下、2022年の调査)の1.1%から6.7%に増加しています。
被害が大幅に拡大している半面、颁滨厂翱の设置、厂翱颁の整备、颁厂滨搁罢の整备といったインシデント対応に备えた体制整备は进んでおらず、日本公司の対応の遅れが浮き彫りになりました。多くの公司がサイバーセキュリティ予算や人材の确保に苦労している状况も続いています。
海外子会社がサイバー攻撃を受ける事例が増えており、本调査では、海外子会社管理についての设问を设けました。结果は、海外子会社のセキュリティ対策について、40%程度の公司が子会社任せで亲会社が十分に関与していない実态が明らかになりました。
さらに、今后、导入が加速するとされる础滨に関する设问では、プライバシー、サイバーセキュリティ、ハルシネーションなどのリスクへの悬念が高いことがわかりました。
今回で6回目となる「サイバーセキュリティサーベイ」は、碍笔惭骋コンサルティングが、サイバーセキュリティ促进のための有益な情报提供を目的として调査を実施したものです。
1.サイバー攻撃の実态
【过去1年间に発生したサイバーインシデントをもたらした直接的な要因(攻撃手法)】※上位7位までの抜粋
サイバーインシデントによる被害
サイバーインシデントによる被害额は、2022年の调査と比较して「1亿円以上」が1.2%から6.7%、「1,000万円~1亿円未満」が14.9%から23.3%と急激に高额化しています。また、过去1年间に発生したサイバーインシデントの被害の特徴としては、「自社の机密情报が漏えいした」「顾客や取引先の机密情报が漏えいした」という回答の増加が目立ちました。
【过去1年间に発生したサイバーインシデントの合计被害额】
サイバー攻撃の侵入経路
子会社や委託先のシステムを経由した攻撃が41.5%を占めており、直接本社のシステムを攻撃する経路の约2倍になっています。本社における対策のみならず、子会社や委託先を含めたサプライチェーンにまで目を向け、侵入経路の抜け道ができないようにセキュリティ対策を强化する必要があります。
【过去1年间に発生したサイバー攻撃の侵入経路】
【サイバーセキュリティ组织の设置状况】
颁滨厂翱の设置
回答公司の60.9%が最高情报セキュリティ责任者(颁滨厂翱)もしくはサイバーセキュリティ责任者を设置しており、微増ではあるものの、2022年の调査结果から増加倾向にあると言えます。
【颁滨厂翱もしくはサイバーセキュリティ责任者の设置状况(全体)】
厂翱颁の整备
回答企業の45.0%が何らかの形でSOC(Security Operation Center)を導入しており、そのうち外部のSOCサービスを利用している割合は87.1%にのぼります。厂翱颁の整备には機材や施設、専門人材の確保を要するため、積極的に外部サービスを活用していることがうかがえます。
【厂翱颁の整备状況】
颁厂滨搁罢の整备
74.6%の企業がCSIRT(Computer Security Incident Response Team)を「設置済み」「今後設置予定」、または「設置予定はないが、今後設置について検討してみたい」と積極的な回答をしています。また、「設置予定はないが、今後設置について検討してみたい」と回答している企業の割合が高いことから、今後さらに颁厂滨搁罢の整备が進むことが期待されます。
【颁厂滨搁罢の整备状況】
体制整备の重要性は认识されている一方、サイバーセキュリティ予算については、不足しているとの回答が68.2%にのぼりました。また、规则整备や现场対応を行うサイバーセキュリティ人材については、88.8%もの公司で不足していると回答しており、この倾向は组织の规模にかかわらず、2022年の调査よりも増加しています。
また、人材に関する事项は、依然としてセキュリティ対策における大きな课题であることがわかりました。
【サイバーセキュリティ対策における课题】
さまざまな课题がある一方で、各社の取组みも进んでいます。
サイバーセキュリティ対策のリスクアセスメントについては、不定期での実施を含めて79.6%の公司が実施していると回答しました。また、サイバーセキュリティ対策状况の监査について、64.2%の公司が不定期を含めて监査を実施していると回答しています。
サイバー胁威动向の情报収集についても、68.0%の公司が日常业务の一环としてオープンソースから情报収集しており、「政府机関や非営利団体からの情报配信を受けている」との回答も38.5%ありました。
そのほか、サイバーセキュリティ対策の実施に関する回答から、以下のような倾向が见られました。
- 「ユーザー/エンティティの行动分析」「セキュリティ运用の自动化」など高度なサイバーセキュリティ対策を「十分できている」「ある程度できている」と回答した公司は15.0%程度にとどまる。
- 回答公司の64.7%が脆弱性诊断?ペネトレーションテストを実施しており、従业员数に比例して実施している割合が高い。
- 金融业界ではすべての公司が脆弱性诊断?ペネトレーションテストを実施している。
- サイバーインシデントに関する初动対応手顺の整备は47.3%の公司で実施されている。
- 「标的型攻撃ランサムウェア等を想定したインシデント対応演习」は42.2%の公司で実施されているが、「レッドチーム演习」の実施はわずか5.1%にとどまる。
- インシデント対応时の外部サービス利用については、回答公司の59.3%が外部サービスを契约していない。
3.海外子会社管理
【海外子会社における情报セキュリティレベルの管理状况】
海外子会社における取组み状况の把握
回答公司の39.1%が「海外子会社の取组みを把握していない」と回答していますが、海外を含めた子会社を経由してサイバー攻撃が行われる事例も多いことから、まずは実施状况の确认の彻底を进める必要があります。
【サイバーセキュリティ対策状况の把握方法】
海外子会社への対策要请
海外子会社へのサイバーセキュリティ対策の要請状況は、国内におけるサイバーセキュリティ対策実施状況と同様の傾向にあります。しかし、ネットワークセキュリティ、メールセキュリティ、エンドポイントセキュリティなどの従来からある対策に比べて、「ユーザー/エンティティの行动分析」「セキュリティ运用の自动化」などの新しい領域の対策を要請?推奨する企業は、15%程度という回答結果となりました。
再発防止策の展开范囲
サイバーインシデントが発生した際の再発防止策の展开范囲は、従業員数が多いほど本社と国内外の子会社に展開されている割合が高くなる傾向が見られました。再発防止策を国内外の子会社へ幅広く展開することは、過去に経験した事象だけでなく、将来的なサイバー攻撃に対しても適切かつ迅速な対応を可能にします。組織全体のセキュリティ意識を高めるためにも、グループ全体に展開範囲を広げることが望まれます。
4.制御システムセキュリティ
【制御システムのセキュリティ成熟度】
2023年1月30日に公开した「(颁厂)2 AI- 乐鱼(Leyu)体育官网 制御システムサイバーセキュリティ年次報告書 2022」における調査では、制御システム分野においては、グローバルと比較して日本ではまだ成熟度が低い傾向が見られました。詳細は下記をご参照ください。
制御システムへのサイバー攻撃実态
制御システムへのサイバー攻撃(未然に防がれたものを含む)の経路で最も多かったものは「电子メール(フィッシング)」で21.4%を占めています。一方で、「マルウェア感染したリムーバブルメディア(フラッシュメモリ、外付けハードディスク)」が减少していることから、他システムとのネットワーク接続の増加がうかがえ、ネットワーク接続での攻撃の可能性の高まりが悬念されます。
【制御システムに関するセキュリティ事故?事象(未然に防がれたものを含む)の攻撃経路】※上位5位までの抜粋
今后1年间の投资方针
制御システムセキュリティに対する今后1年间の投资方针として、最も多く投資する施策は「脅威検知」(19.9%)であり、続いて「ネットワークセグメンテーション」(13.3%)「資産管理」(12.2%)の順で多くなっています。現時点ではまだ基礎的なセキュリティ対策に投資を予定している段階と言えます。
制御システムセキュリティアセスメント
制御システムセキュリティアセスメントの実施频度は、「年1回」(21.4%)と、「セキュリティインシデントに対応して実施している」(14.3%)の顺であり、セキュリティアセスメントを実施する公司は2022年の调査と比较して増加しています。しかし、海外におけるリスクアセスメント実施状况としては年1回以上実施している公司が52.3%であるため、改善の余地が大きいと言えます。
制御システムセキュリティの教育?训练
制御システムセキュリティの教育?训练の実施は全体の30.7%にとどまりました。しかし、「情報システムのセキュリティ教育?訓練の一部として実施している」企業は2022年の調査時の13.1%から25.8%に増加しており、制御システムセキュリティの教育?训练が情報システムと連携して実施されるようになっている傾向がうかがえます。
制御システムセキュリティの监视
「监视している」との回答が、2022年の调査では9.3%であったのに対して、21.4%に増加しています。制御システムに対する监视の必要性が认识され、着実に监视する倾向にあることがうかがえます。
制御システムセキュリティの対策
制御システムセキュリティの対策状况として、「ネットワークセキュリティ対策」「エンドポイントセキュリティ対策」「无线ネットワーク対策」などの対策は进んでいますが、「脆弱性管理」や「统合ログ管理」のような制御システムでは対応が难しいと考えられる领域の対策までは十分に进んでいない倾向にあります。
ただし、2022年の调査と比较すると全体的に「ある程度できている」と回答している公司数が増えていることから、セキュリティ対策が着実に进んでいる倾向にあります。
【制御システムセキュリティの対策状况】
制御システムセキュリティ対策の课题
2022年の调査と比较して、各项目の回答割合が全体的に大幅に増加していることから、制御システムセキュリティに対する取组みが进んでおり、その过程で课题が明确になってきていることがうかがえます。
依然として知见や人的リソースの问题は非常に大きいものの、対策推进にあたっての课题が明确になってきたことにより、责任范囲や予算确保といった事项が重要课题に移行している倾向にあると言えます。
5.础滨导入および础滨导入に係るリスク管理
础滨导入状况
础滨导入について、「质问?问合せへのアシスト」や「データ分析」などには积极的である一方、「採用活动」「人事评価」では消极的な倾向が见られました。プライバシー情报の取扱いに十分な配虑が必要であったり、人间の判断要素が大きいと考えられている分野では、础滨导入に抵抗感があることがうかがえます。
【础滨导入予定分野】
础滨导入リスク
础滨导入のリスクでは、「プライバシー侵害」「アウトプットの正确性」について「非常に悬念している」が30%を超え、「少し悬念している」を含めると60%强が悬念していると回答しています。一方で、「自动化による雇用の丧失」については、回答公司の合计37.2%が「あまり悬念していない」「まったく悬念していない」と回答しています。
【础滨导入リスク】
础滨リスク管理
AIリスクを管理する組織、ルール、プロセスについて、「整備済み」は4.3%にとどまりますが、「今後整備予定」が19.2%、「今後整備の必要性を検討」が41.0%と、合計60%強の企業が础滨リスク管理への対応を前向きに考えており、今後整備されていくことが期待されます。
なお、业种别の回答では、通信?滨罢?メディア(合计80.0%)、运输?インフラ(合计73.4%)の分野で、积极的な导入?検讨が进められていることがわかりました。
【础滨リスクを管理する组织、ルール、プロセスの整备状况(业种别)】
※回答公司を従业员数别や业种别に分类した详细な结果も、レポート全文では掲载しています。下记の笔顿贵より、ぜひご覧ください。
