ネットワークセキュリティ企業のExtraHop Networksは、日本、オーストラリア、シンガポールのIT担当者に実施した調査のレポート「ExtraHop 2022 Cyber Confidence Index—Asia Pacific」を公開した。ランサムウェア攻撃を受けたことに関する情報の開示について、経営層と現場に意識のギャップが存在することが分かった。
調査は、ExtraHopの委託でStollzNow Researchが2022年1月に実施したもの。従業員数50人以上の組織のIT部門の意思決定者300人(各国100人)が回答した。
それによると、過去5年間に少なくともランサムウェア攻撃を1回以上経験した組織は83%に上り、経験が1~5回の企業は48%、6回以上は35%だった。事案を一般に開示・公表したのは32%。日本では77%が経験し、公表は25%だった。
情報開示について、公表を一部にとどめ可能な限り非公開とする方針の企業は48%、公表しない方針の企業は20%だった。しかし、回答者の66%は公表や開示する方が望ましいと答えており、情報を開示しない傾向にある会社の方針には否定的だった。
これについてExtraHopは、上述のように多数の企業が何度もランサムウェア攻撃を経験していることから、「経営陣がインシデントの公表や情報開示を支持しない理由は、同じことが再び起こる可能性がないとは言えないと考えているため」と解説。経営陣とIT担当者の間に存在する、情報開示に対する意識のギャップが浮き彫りになった。
この他に日本の状況では、サイバー攻撃に対する自社の防御・対応能力について「大いに信頼している」「完全に信頼している」とした回答者が23%(シンガポール52%、オーストラリア43%)、攻撃の特定能力について「とても自信がある」「自信がある」としたのは37%(シンガポール62%、オーストラリア59%)、ソーシャルエンジニアリング攻撃の特定能力ついて「とても自信がある」「自信がある」としたのは35%(シンガポール63%、オーストラリア56%)、2022年のセキュリティ予算を増やす方針は48%(シンガポール70%、オーストラリア66%)などだった。