Trellixは12月14日、2022年に発生したセキュリティ事件の上位10件と企業における在宅勤務の実施状況とセキュリティ脅威の被害状況について、報道機関向け説明会を開催。セールスエンジニアリング本部 シニアディレクターの櫻井秀光氏が詳細を解説した。
これは、国内の経営層や情報システム部門などのビジネスパーソンを対象に実施した「2022年の情報セキュリティ事件に関する意識調査」の結果を基にしている。2021年12月から2022年11月に報道されたセキュリティ事件が調査対象。2014年から毎年実施しており、ランキングの発表は今回で9回目となる。
2021年の調査では、「電子決済サービスを開発・提供する企業が管理するサーバーが不正アクセスの被害に遭い、加盟店の名称など2000万件以上の情報が流出した恐れがあると発表した(2020年12月)」「東京オリンピック・パラリンピックの期間中、大会運営に関わるシステムやネットワークに、合計4億回を超えるサイバー攻撃があったことが判明。対策の結果、全てブロックし大会運営への影響はなかった(10月)」「人材情報サービスのポータルサイトの運営企業は、同社が運営する転職情報サイトで、外部で不正に入手されたと見られるパスワードを使った不正ログインが発生したと発表した(2月)」がトップ3だった。
ただ、1位の電子決済サービス関連の件の認知度が43%と「ダントツ」で、2位以下と大差がついていることから、櫻井氏は「セキュリティ事件が多すぎて認知度にバラツキがでたのでは」と分析し、2021年は「これまでと異なる結果が出た年だった」と振り返った。
今回のランキングでは、3位が「ロシアのウクライナへの軍事侵攻が開始。サイバー攻撃をはじめとした、かつてない規模の『ハイブリッド戦争』の様相を呈する(2月)」、2位が「大手自動車メーカーの主要仕入れ先である部品メーカーがサイバー攻撃を受け、自動車メーカーが国内全14工場、28ラインを停止することになった(2月)」、1位が「大手外食チェーンの元役員が競合企業に移籍する際に営業秘密などを持ち出し、その後も商品原価や仕入れ値など不正に取得したデータを社内で共有した(9月)」だった。
2022年の10大セキュリティ事件ランキング(6位~4位)
2022年の10大セキュリティ事件ランキング(10位~7位)
なお、7位、5位、4位、2位にサプライチェーンリスクに関連する事件が含まれており、自社だけの対策ではセキュリティを守ることができなくなっている現状が明らかになったほか、8位と1位に「意図・悪意を持った情報持ち出し事件」がランクインしており、外部からの攻撃だけでなく、内部犯行の可能性も想定し、性悪説に基づく対策(ゼロトラスト)の必要性と、データレベルでのアクセスの監視・制御を可能にする対策が必要だと指摘された。櫻井氏はデータの持ち出しに対する対策のみでなく、「(不正に入手した)データを持ち込まれるリスク」に対する対策も必要だと指摘している。
2022年の10大セキュリティ事件ランキングの総括
続いて、在宅勤務の実施状況とセキュリティ対策に関する調査結果についても紹介された。全体的な状況について、櫻井氏は「在宅勤務が実施可能な業種、規模の企業においては、在宅勤務の浸透がうかがえる」とした。
在宅勤務の実施状況に関して回答が最も多かったのは「週に1~2回の在宅勤務」(45.9%)であったことから「ハイブリッドワークを前提としたセキュリティ対策が必要に」なったと指摘。「従業員の家庭環境におけるセキュリティ対策が新たに必要になった」という回答も多かった。
最後に、ランサムウェア攻撃の被害状況についても紹介された。身代金支払いに関する調査では、「身代金を支払い復旧できた」「身代金を支払ったが復旧できなかった」という回答の合計が2021年と比較して2022年は9.1ポイント減少しており、同氏は「身代金を支払わないという基本的な対策が浸透した結果だとすればうれしい」と評価した。
