調査

攻撃発覚まで90日超の事案が増加--サイバーセキュリティクラウド調査

NO BUDGET

2021-10-13 06:30

 サイバーセキュリティクラウドは、サイバー攻撃の発生から発覚・公表までの期間に関する調査レポートを発表した。

 これによると、法人や団体がサイバー攻撃を受けた「発生日」から、攻撃に気づいた「発覚日」までに平均349日を要していることが分かった。同社が2020年8月に実施した調査と比較すると、34日短期化している。また、「発覚日」から被害が公表された「公表日」までには平均82日を要しており、2020年の調査と比較すると、13日長くなっている。

攻撃発覚までやや短期化するも、依然として1年近く気付かれないままに
攻撃発覚までやや短期化するも、依然として1年近く気付かれないままに

 今回の調査は、2020年9月1日から2021年8月31日に公表された法人・団体における不正アクセスに関する被害規模1000件以上の主な個人情報流出事案の87件を分析した。

攻撃発覚まで“90日”を超えた事案が6割超え、2020年調査よりも10ポイント増加
攻撃発覚まで“90日”を超えた事案が6割超え、2020年調査よりも10ポイント増加

 調査対象期間中の事案について、「発生」から「発覚」までに要した期間を「30日以内」「30日超90日以内」「90日超180日以内」「180日超1年以内」に分類した結果、「90日超」を要した事案が全体の6割を超えた。

 サイバーセキュリティクラウドでは、発見までに時間を要した要因の1つに、コロナ禍に伴う業務のオンライン化が進む中、企業が攻撃を発見する仕組みが整備されていないこと、定期的なセキュリティチェック体制を構築できていないことが考えられるとコメントしている。

被害に気付いて公表するまで“90日”を超える事案が増加
被害に気付いて公表するまで“90日”を超える事案が増加

 また「発覚日」から「公表日」までを分類した場合、「90日超」を要した事案が全体の34.3%を占めていた。公表までに被害の原因や影響範囲の特定、利害関係者への通知・説明が求められる中、企業側の人的リソースが不十分だったり、コミュニケーションや連携がうまく取れていなかったりしたいことで、公表までの時間が長期化していると考えられるという。

 将来的には、2022年4月までに全面施行される改正個人情報保護法で、本人への通知や個人情報保護委員会への報告の義務化など事業者の責務が追加されるため、公表にかかる時間がさらに増えることも予想されるという。

 この調査結果を踏まえ同社は、サイバー攻撃の被害を「対岸の火事」と捉えず、定期的な自社サイトの脆弱性の確認、攻撃を未然に防ぐことが可能な仕組み作り、素早く攻撃に気付けるような社内体制の構築が一層重要になっていくとしている。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]