トレンドマイクロは、「アタックサーフェス」に関する企業のセキュリティ意識を調査した結果を発表した。対象国・地域の中でアタックサーフェスを完全かつ明確に定義している企業の割合が最も高いのは、フィリピンの69.8%だった。
アタックサーフェスとは、日本語で「攻撃対象領域」を表現され、サイバー攻撃を受ける可能性があるデバイスやソフトウェア、ネットワーク、ITサービスなどを指す。トレンドマイクロは、サイバー攻撃による侵入の起点だけでなく、その後の侵入先や別のサイバー攻撃での踏み台にされてしまう領域も含まれると説明する。
アタックサーフェス(攻撃対象領域)のイメージ(出典:トレンドマイクロ)
同社によれば、アタックサーフェスの範囲は、昔ならPCやサーバー、メールサービスといったものだが、現在ではクラウドやテレワーク環境、IoT、データ資産なども含まれ、IT利用の高度化とIT環境の複雑化によって拡大するばかりだとしている。
今回の調査は、日本を含む29の国・地域の法人でのIT部門や事業部門の意思決定者を対象として4月に実施した。6297人が回答し、日本では205人が答えた。
まずアタックサーフェスの拡大について懸念する企業の割合(非常に懸念がある、ある程度懸念するの合計)は、回答者全体では73.3%、日本では71.7%だった。
アタックサーフェスを完全かつ明確に定義しているとした企業の割合は、回答者平均では51.1%、首位はフィリピンの69.8%で、これに続くスイス、インドネシア、インドが6割を超えた。最下位は33.2%のチェコだったが、「ある程度している」は54.5%で、対象の中では最も多く、「いいえ」と「わからない」の合計は12.4%にとどまった。
日本は34.6%で28位だった。また、「いいえ」の割合は対象国・地域の中で最も多い14.1%、「わからない」も最多の14.6%に上った。対象国・地域の中で「いいえ」と「わからない」の合計が20%を超えているのは日本のみ(28.7%)だった。日本企業が海外に比べてアタックサーフェスを定義できていない実態が判明した。
デジタルアタックサーフェスが明確に定義されているかどうかの状況(出典:トレンドマイクロ)
また、「自社のアタックサーフェスの安全性で確実に盲点があると思うか」との質問では、「非常にそう思う」「そう思う」の合計が、回答者平均では61.8%、日本では45.9%だった。
サイバーリスクの把握や管理が難しい理由では、「定量化が難しい」が回答者平均、日本とも37.6%で最多だった。
サイバーリスクの把握や管理が難しい理由(複数回答、出典:トレンドマイクロ)
