DIME MAGAZINE
1980年代後半に初めて確認されたPC Cyborgウイルスを起源としているランサムウェア攻撃。ランサムウェアの身代金支払い方法として好まれる暗号通貨が台頭したこともあり、その頻度と影響は拡大しつつある。
そんな中、タレスジャパンはこのほど、「2022年タレス・グローバル・データ脅威レポート」の調査結果を発表した。
本レポートによると、マルウェア、ランサムウェア、フィッシングが引き続きグローバル組織に悪影響を及ぼしていることが判明した。実際、5社中1社(21%、日本:25%)が昨年にランサムウェア攻撃を経験しており、そのうち43%(日本:34%)は、事業活動に甚大な影響を受けていた。詳細は以下のとおり。
正式なランサムウェア対応計画を有する企業は半数以下
今回の2022年タレス・データ脅威レポートはS&Pグローバルマーケティングインテリジェンスの一部門である451リサーチによって、世界2,700人以上のIT部門意思決定者を対象に行われたが、実際、5社中1社(22%、日本:22%)が、データにかけられた身代金を支払ったか、支払おうとしたことがわかった。
それにもかかわらず、回答者の41%(日本:47%)は、ランサムウェアの影響が甚大である状況においてもセキュリティ支出を見直す予定はないと回答している。
また、正式なランサムウェア対応計画を保有しているとした回答者は半数以下(48%、日本:48%)だった。正式なランサムウェア対応計画による対策が最も講じられている分野は医療(57%)で、最も対策が遅れている分野はエネルギー(44%)だったが、どちらの分野でも過去12か月で深刻な侵害が発生している。
データの可視性が課題
マルチクラウド戦略を採用する企業が増え、ハイブリッドワークが引き続き常態となる中で、IT部門責任者は、データが組織内で無秩序に広がることに伴う課題に引き続き苦慮しており、また、自社データのすべてを把握して特定することがより困難になっている。
データの保存場所について非常に自信がある、あるいは、それを完全に把握していると回答したIT部門責任者は半数を少し上回る程度(56%、日本:57%)で、昨年の64%(日本:66%)を下回った。また、自社のデータすべてを分類できていると回答した回答者はわずか4分の1(25%、日本:27%)だった。
脅威とコンプライアンスの課題
2021年を通して、セキュリティインシデントの数は高止まりが続いており、3分の1近く(35%、日本:35%)の企業が過去12か月で侵害を経験した。また、IT部門責任者の半数近く(43%、日本:37%)が、コンプライアンスの監査で不合格になったと回答している。
世界中のIT部門責任者は、マルウェア(56%、日本:63%)、ランサムウェア(53%、日本:50%)、フィッシング(40%、日本:29%)を増加のあったセキュリティ攻撃の主な発生源として挙げている。半数近く(45%、日本:40%)のIT部門責任者が、過去12か月でサイバー攻撃の量、重篤度、範囲が増大したと報告しており、これらのリスクに対応することが引き続き課題となっている。
クラウドで複雑性とリスクが増大
クラウド導入が進んでおり、回答者の3分の1以上(34%、日本:30%)が、50以上のサービスとしてのソフトウェア(SaaS)アプリを、18%(日本:16%)が100以上のSaaSアプリを使用していると回答している。
ただ、IT部門責任者の51%(日本:52%)が、クラウド環境のプライバシーおよびデータ保護の法規制に対応することが、組織内のオンプレミスネットワークでの法規制対応と比較してより困難になっていると回答しており、この数字は昨年の46%(日本:39%)から増加している。
また、2022年データ脅威レポートでは、企業のデータをクラウドに保存しようとする動きが著しいことが示されている。自社のワークロードやデータの半分近く が外部のクラウドにあると回答した回答者は32%(日本:31%)、ワークロードやデータの60%以上が外部のクラウドにあると回答した回答者は4分の1(23%、日本:20%)だった。その一方で、企業の45%(日本:39%)が、クラウド環境での侵害や、監査の不合格を経験したと報告している。
さらに、暗号化を使用して機密性の高いデータを保護している企業は少なく、機密性の高いデータの40%以上を暗号化していると回答した企業はわずか半数(50%、日本:44%)で、60%以上を暗号化していると回答した企業は5分の1(22%、日本:16%)だった。これは、企業にとって重大なリスクが継続していることの表れと言える。
リモートワークの懸念
昨年も1年を通してリモートワークが主流だったが、セキュリティリスクを回避することが企業にとっていかに難しいことであるかが判明した。
心配なことに、企業の大半(79%、日本:80%)が、リモートワークがもたらすセキュリティリスクや脅威に関して、いまだに懸念を抱いている。多要素認証(MFA)を導入したと回答したIT部門責任者はほぼ半数のみ(56%、日本:52%)で、この数字は前回の調査から変わっていない。
迫る脅威
ただ、今回のレポートでは、IT部門責任者が優先度の高いテクノロジーへの支出をきわめて多様化させていることも示されており、これは、複雑な脅威環境にIT部門責任者が本気で取り組んでいることを示唆している。
回答者33%(日本:23%)は、広範なクラウドセキュリティツールセットへの支出を最優先とすると回答している。また、ほぼ同じ割合(31%、日本:39%)のIT部門責任者が鍵管理を優先していると回答しており、35%(日本:25%)はゼロトラストが重要な戦略であると回答している。
IT部門責任者はまた、差し迫る今後の課題にも気づき始めている。将来の量子コンピューティングのセキュリティ脅威は何かという質問に対し、回答者の52%(日本:59%)が、「その日のデータが次の日に復号される」ことを懸念していると回答した。これは、クラウド環境の複雑化により、いっそう悪化する可能性のある懸念事項だ。
タレスのクラウドプロテクション&ライセンシング担当シニアバイスプレジデントのセバスチャン・カノ(Sebastien Cano)氏は次のように述べている。
「パンデミックは、企業および個々人の日常に影響を及ぼし続けており、パンデミック以前の状態に“回帰”するという期待が薄れています。世界中のITチームは、いまだにデータ保護に関する課題に直面しています。
より強靭なサイバーセキュリティ戦略を確立するために、企業に緊急のアクションが必要であることを当社の調査結果は示しています。アセット管理の課題に加え、攻撃対象領域は今後1年で広がるのが明白な中、企業が検出、保護、制御に基づく強靭なセキュリティ戦略を導入することは必要不可欠です」
出典元:タレスジャパン株式会社
構成/こじへい
最新号
