A10 Networksは3月9日、日本を含む世界10カ国のIT管理者と従業員約2000人を対象に実施した企業のサイバー攻撃の実態やセキュリティ意識に関する調査結果を公開した。これによると、約半数に当たる47%が情報漏えいの被害にあったと回答した。また、対象国で最も情報漏えいを経験していると答えたのは71%の米国、最も少なかったのは18%の日本であることが明らかになった。
同調査によると、IT管理者の約3分の1に当たる38%が、過去1年間に分散型サービス妨害(DDoS)攻撃を受けたことがあると回答。対象国で最もDDoS攻撃を経験していると答えたのは61%の米国で、最も少なかったのは21%の日本だった。
また、IT管理者の22%が少なくとも一度はランサムウェアの被害に遭い、26%は「ランサムウェアによる攻撃が遭ったかもしれないが最終的には不明」と回答している。対象国で最もランサムウェアを経験していると答えたのは47%の米国で、最も少なかったのは7%の日本だった。
A10によると、日本は他国に比べて情報漏えいやDDoS攻撃、ランサムウェアの被害を最も受けていないという調査結果が得られたという。しかし、それぞれのサイバー攻撃に関して「被害にあったか分からない」と回答した日本のIT管理者は、情報漏えいについては2番目に高い15%(世界平均は10%)。また、DDoS攻撃では最も高い22%(世界平均は9%)、ランサムウェアでは最も高い18%(世界平均は8%)と、対象国内で際立った結果となった。これに対し、日本企業は他国に比べて被害が少ないのではなくサイバー攻撃に気づいていないだけという可能性があると指摘している。
図: IT管理者に聞くサイバー攻撃の被害状況の実態
従業員に向けた調査では、63%の従業員(日本は70%)がDDoS攻撃が何であるかをよく知らなかった。また、73%(日本は74%)がボットネットについてよく知らず、57%(日本は72%)が二要素または多要素認証を知らないという結果が得られた。
日本の従業員の50%は、この全てを「よく知らない」と回答しており、世界平均の32%と比較して日本の従業員のセキュリティへの関心のなさが浮き彫りとなった。また、日本の従業員の43%(世界平均は32%)が「ビジネスアプリや個人情報の管理責任はIT部門にある」と回答。これは対象国で最も高かった。A10は、セキュリティについて理解がなかったり意識が薄かったりする従業員を脅威から守ることは困難なため、さらに不安をあおる結果だと指摘する。
図: 従業員の脅威/セキュリティ技術への理解度
A10によると、従業員が正しいセキュリティを実践するには、セキュリティポリシーが必須だという。90%のIT管理者がセキュリティポリシーについて「定期的に従業員とコミュニケーションをとっている」と答えているが、日本のIT管理者においては73%と対象国で最も低い結果となった。実際に自社のセキュリティにおける最大の課題として、日本の41%のIT管理者が「セキュリティポリシーの策定や実施に対する企業規模の取り組みがないこと」を挙げている(世界平均は29%)。これは対象国で最も高い結果となった。
