日本マイクロソフトは6月12日、サイバー攻撃に対する脅威の調査結果を発表し、デジタルトランスフォーメーション(DX)におけるセキュリティの役割を強調した。調査はアジア太平洋100カ国/1300サンプルを対象に、MicrosoftおよびFrost&Sullivanが共同で実施。回答者の役職は56%がIT意思決定者、44%がCEOなどのビジネス意思決定者。組織規模は71%は社員数500名以上の大規模企業、社員数250~499名の中規模企業は29%が占める。業種は18%が製造、12%が金融、11%が官公庁およびヘルスケア、10%が流通、8%が教育に携わる企業となった。
Frost&Sullivanはサイバー攻撃における経済的損失の思考法として、セキュリティ被害で目立つのは売り上げや生産性といった"直接的コスト"が目立つものの、顧客離れや評判の失墜といった"間接コスト"、それに伴って派生する"誘発コスト"にも目を向けなければならないと資料で述べている。
日本企業におけるセキュリティインシデント(案件数)だが、過半数(58%)が被害に遭遇しているものの、そのうち19%は正しいチェックを行っていないため、インシデントが発生したか否か判断できないと回答した。日本マイクロソフトは、「すべてのイベントを記録・保存すべきだ。ルールが甘ければチェックは甘く、シビアになれば(インシデントは)増加する。セキュリティログを保存する企業は増えているが、多様な情報を残さないとゼロディ攻撃など多様な攻撃に対応するのは難しい」(日本マイクロソフト 技術統括室 チーフセキュリティオフィサー 河野省二氏)と語る。なお、調査結果の42%は定期的なフォレンジック(検証作業)とデータ侵害アセスメント(査定)を実施しているため、セキュリティインシデントは発生していないと回答した。
日本マイクロソフト 技術統括室 チーフセキュリティオフィサー 河野省二氏
Frost&Sullivanによれば、サイバー攻撃に起因する総コストは約66兆円(日本のGDPにおける約12%)にもおよび、日本企業は平均して約37億円の経済損失に遭遇しているという。この約37億円という数字の内訳を見ると、直接コストは約5億円、間接コストは14億円、そして誘発コストは約18億円となる。この数字を元に日本マイクロソフトは、「インシデント報告義務範囲が狭く、リアルな数字が見えにくいという背景があった。我々は中堅中小企業の1100倍となるサイバー攻撃の影響額を重く見ている」(河野氏)という。
そこで企業に必要となるのは、サイバーセキュリティ戦略に則した組織構成だが、日本マイクロソフトは主なサイバー脅威としていくつかの例を取り上げた。「もっとも回復に時間を要し、相対的なインパクトを残すのが『データ漏えい』だ。よくパスワード保護しているから安心という声を耳にするが、パスワード自体がソーシャルネットワークや掲示板に流出した場合、パスワードは意味をなさない。多くの場合は一生回復しないだろう」(河野氏)と述べ、いかにインパクトを抑制し、復旧時間を短縮すべきかが改善ポイントの1つと説明した。
だが、先の調査結果によれば、セキュリティソリューション数と復旧時間の増加は比例する傾向にあり、ソリューションが10以下のケースでは1時間以内が37%、1日未満が43%、1日以上は20%だという。一方で26~50種ものセキュリティソリューションを導入している企業では、1時間以内は17%、1日未満が30%、1日以上が53%と大幅に増加。セキュリティソリューションが複雑化すればするほど、復旧時間が増加するのは火を見るよりも明らかだ。