小学館IDをお持ちの方はこちらから
ログイン
初めてご利用の方
小学館IDにご登録いただくと限定イベントへの参加や読者プレゼントにお申し込み頂くことができます。また、定期にメールマガジンでお気に入りジャンルの最新情報をお届け致します。
新規登録
人気のタグ
おすすめのサイト
企業ニュース

1年近く気づかないのが当たり前!?サイバー攻撃の発生から発覚までに要する時間

2021.10.13

いつの間にか被害を受けていることも少なくないサイバー攻撃。では、攻撃発生から攻撃発覚まで、どれくらいの期間を要するケースが多いのだろうか?

株式会社サイバーセキュリティクラウドではこのほど、2020年9月1日から2021年8月31日までに公表された法人・団体における不正アクセスに関する個人情報漏洩数1,000件以上の主な個人情報流出事案に基づき、サイバー攻撃の発生から発覚・公表までの期間に関する調査レポートを発表した。

攻撃発覚までやや短期化するも、依然として1年近く気付かれないままに

2020年9月1日から2021年8月31日の期間内で公表された、国内法人や団体における個人情報漏洩数1,000件以上の事案を対象に調査を実施(以下「2021年調査」とする)。調査では法人や団体がサイバー攻撃を受けた攻撃の「発生日」から、攻撃に気づいた「発覚日」までに平均349日を要していることがわかった。

これは当社が2020年8月に実施した、2019年1月から2020年7月までを対象期間とした「サイバー攻撃の発生から発覚・公表までの期間に関する調査」(以下「2020年調査」とする)における「発生日」から「発覚日」までの平均日数と比較すると34日短期化している。

また「発覚日」から被害が公表された「公表日」までには平均82日を要しており、2020年調査と比較すると13日長くなっている。攻撃の発生から発覚までやや短期化したものの、依然として法人や団体は1年近くもの間、サイバー攻撃の被害に気付いておらず、さらに発覚から公表するまでにかかった時間が増加していることがわかった。

攻撃発覚まで“90日”を超えた事案が6割超え、2020年調査よりも10ポイント増加

調査対象期間中の事案を「発生」から「発覚」までに要した期間を「30日以内」、「30日超90日以内」、「90日超180日以内」、「180日超1年以内」に分類した場合、発生してから発覚するまでに“90日超”を要した事案が、全体の6割を超えた。

これは2020年調査時(90日超:51.7%)と比較して10ポイント近く増加している。また「30日以内」が11.9ポイント減少し、「1年超」が7.7ポイント増加している(表1)。

発見までに時間がかかっている要因の一つとして、新型コロナ禍でオンライン化が進む中、企業が攻撃を発見する仕組みが整備されていないことや、定期的なセキュリティチェック体制を構築できていないことが考えられる。

表1:攻撃発生から発覚までの日数

被害に気付いて公表するまで“90日”を超える事案が増加

発覚日」から「公表日」までを分類した場合、発覚してから公表するまでに“90日超”を要した事案が全体の34.3%を占め、2020年調査と比較して3.5ポイント増加した(表2)。

公表までに被害の原因や影響範囲の特定、利害関係者への通知・説明が求められる中、企業側の人的リソースが不十分だったり、コミュニケーションや連携がうまく取れていないことで公表までの時間が長期化していると考えられる。

また、2022年4月までに全面施行される改正個人情報保護法では、本人への通知や個人情報保護委員会への報告の義務化など事業者の責務が追加されるため、公表にかかる時間がさらに増えることも予想される。

表2:攻撃発覚から公表までの日数

サイバーセキュリティクラウド代表取締役CTO渡辺洋司のコメント

今回の調査では攻撃から発覚まで1年超を要したものが全体の約3割を占めるなど、発覚まで長期を要した事案の割合が増加していました。企業のデジタル化が進むとともに、サイバー攻撃の被害に遭う機会が増加しており、また、サイバー攻撃は年々高度かつ多様になっています。

そのため攻撃の発生後、長期間を経てようやく被害に気づく事案が増加傾向にあると考えられます。さらに一度攻撃を許してしまうと、被害に遭うまでその状況に気づくのは困難です。こうした事態を未然に防ぐためには、サイバー攻撃の被害を対岸の火事と捉えず、定期的に自社のWebサイトの脆弱性を確認したり、攻撃を未然に防ぐことが可能な仕組みづくりや、素早く攻撃に気付けるような社内体制の構築が一層重要になっていくと考えられます。

<調査概要>
-調査対象期間:2020年9月1日〜2021年8月31日
-調査対象:上記期間までに公表された法人・団体における不正アクセスに関する被害規模1千件以上の主な個人情報流
出事案(87件)
-調査方法:サイバーセキュリティクラウド調べ

出典元:株式会社サイバーセキュリティクラウド
https://www.cscloud.co.jp/

構成/こじへい

@DIMEのSNSアカウントをフォローしよう!

DIME最新号

最新号
2024年3月15日(金) 発売

DIME最新号はデザイン一新!大特集は「東京ディズニーリゾート&USJテーマパークの裏側」

人気のタグ

おすすめのサイト

ページトップへ

ABJマークは、この電子書店・電子書籍配信サービスが、著作権者からコンテンツ使用許諾を得た正規版配信サービスであることを示す登録商標(登録番号 第6091713号)です。詳しくは[ABJマーク]または[電子出版制作・流通協議会]で検索してください。