サイバーセキュリティクラウドは、サイバー攻撃の発生から発覚・公表までの期間に関する調査レポートを発表した。
これによると、法人や団体がサイバー攻撃を受けた「発生日」から、攻撃に気づいた「発覚日」までに平均349日を要していることが分かった。同社が2020年8月に実施した調査と比較すると、34日短期化している。また、「発覚日」から被害が公表された「公表日」までには平均82日を要しており、2020年の調査と比較すると、13日長くなっている。
攻撃発覚までやや短期化するも、依然として1年近く気付かれないままに
今回の調査は、2020年9月1日から2021年8月31日に公表された法人・団体における不正アクセスに関する被害規模1000件以上の主な個人情報流出事案の87件を分析した。
攻撃発覚まで“90日”を超えた事案が6割超え、2020年調査よりも10ポイント増加
調査対象期間中の事案について、「発生」から「発覚」までに要した期間を「30日以内」「30日超90日以内」「90日超180日以内」「180日超1年以内」に分類した結果、「90日超」を要した事案が全体の6割を超えた。
サイバーセキュリティクラウドでは、発見までに時間を要した要因の1つに、コロナ禍に伴う業務のオンライン化が進む中、企業が攻撃を発見する仕組みが整備されていないこと、定期的なセキュリティチェック体制を構築できていないことが考えられるとコメントしている。
被害に気付いて公表するまで“90日”を超える事案が増加
また「発覚日」から「公表日」までを分類した場合、「90日超」を要した事案が全体の34.3%を占めていた。公表までに被害の原因や影響範囲の特定、利害関係者への通知・説明が求められる中、企業側の人的リソースが不十分だったり、コミュニケーションや連携がうまく取れていなかったりしたいことで、公表までの時間が長期化していると考えられるという。
将来的には、2022年4月までに全面施行される改正個人情報保護法で、本人への通知や個人情報保護委員会への報告の義務化など事業者の責務が追加されるため、公表にかかる時間がさらに増えることも予想されるという。
この調査結果を踏まえ同社は、サイバー攻撃の被害を「対岸の火事」と捉えず、定期的な自社サイトの脆弱性の確認、攻撃を未然に防ぐことが可能な仕組み作り、素早く攻撃に気付けるような社内体制の構築が一層重要になっていくとしている。
