米Splunkの日本法人であるSplunk Services Japanは4月25日、2023年版のセキュリティ調査レポートを発表した。これによると、過去2年間にデータ漏えい被害に遭ったとする回答は52%に上り、セキュリティインシデントによって中核の業務システムに予定外の停止時間が月1回以上発生したとする回答は62%だった。いずれも前回調査を上回り、増加傾向にあることが分かった。
同調査は、日本を含む世界10カ国・15産業で勤務時間の半分以上の時間をセキュリティ業務に費やしているセキュリティ/ITリーダー1520人を対象に実施したもの。
※クリックすると拡大画像が見られます
セキュリティ・ストラテジストの矢崎誠二氏は全体的な傾向について「前年との比較で多少良くなっている」と振り返った。これは、前年の調査がSolarWinds製ソフトウェアや「Apache Log4j」などを通じた大規模なサプライチェーン攻撃の発生時期と重なったことが要因の一つという。また、最近の傾向として「レジリエンス」(回復力)に対する意識が高まりつつあると指摘した。
Splunk Services Japan セキュリティ・ストラテジストの矢崎誠二氏
矢崎氏によると、レジリエンスを考える上で重要な点は「いかに早く見つけ、いかに早く回復させるか」だという。ビジネスリーダーがサイバーセキュリティ対策の効果を把握するための指標として「MTTD」(平均検出時間)や「MTTR」(平均復旧時間)といった数値を活用するようになってきているとのこと。その上で、「セキュリティチームはイネーブラー(支援者)としての役割を担う」(同氏)ことが重要だと強調した。
これと対立する概念が「阻害要因」で、セキュリティ部門が事業部門から「自分たちがやろうとしていることを邪魔したがる存在」だと見なされているのか、「自分たちが安全に業務を遂行できるよう助けてくれる存在」と見なされているかの違いということになる。
矢崎氏は「納得のいかない取り締まりを受けた経験がある人は路上で警官を見かけると嫌な気持ちになるかもしれないが、犯罪や事故などの場面で警官に助けられた経験がある人は警官に安心感や信頼感を感じる」という例を挙げてその違いを説明した。
同調査はセキュリティ対策の実施状況などについて、セキュリティチームを「支援者と見なす組織」と「支援者と認めない組織」に分けている。その結果、「サイバーリスクの特定」「脅威検出の強化」「調査の迅速化」「修復の自動化」といった項目に対する取り組みの度合いが「支援者と見なす組織」で有意に高く、さらにサイバーレジリエンスに対する取り組みも進んでいるなど、セキュリティレベル向上のためには必須ともいえる重要なポイントだと指摘している。
※クリックすると拡大画像が見られます
このほか、調査結果から幾つか興味深い数値を紹介すると、「インシデントは発生したが、大きな被害はなかった」とした回答は4%で、96%は何らかの被害を受けているという。また、「攻撃者が組織に侵入した後の平均潜伏期間は2.24カ月(約9週間)に及んでいた」という。
この点について、矢崎氏は「侵入されたのがいつなのか、正確に把握するのは難しい」と指摘しているが、これは他のセキュリティベンダーによる同様の調査で潜伏期間が短縮傾向にあり、より迅速な検知の必要性が叫ばれているのを受けてのことだと思われる。
また、「ランサムウェア攻撃を受けたことがない」と回答した組織はわずか13%で、前回調査の21%からさらに減少しているほか、ランサムウェア攻撃を受けた組織または保険会社が身代金を支払った割合は75%(前回調査は66%)だったという。これも「ランサムウェア攻撃者に身代金を支払うべきではない」という昨今のトレンドと逆行しているように見えるが、国ごとのサイバーセキュリティ保険の普及状況なども影響しているという。
矢崎氏によれば、例えばオーストラリアなどではサイバーセキュリティ保険が充実しており、ランサムウェア被害に遭っても保険会社が対応してくれるため、被害企業は損害をあまり気にしない傾向にあるのだという。保険会社が実際に身代金を支払ったのかどうかは不明だが、ユーザー企業から見て「保険会社が損失を補償してくれた」ケースがこの回答に含まれているということのようだ。
ランサムウェア被害などサイバーセキュリティの現状をまとめた調査結果は各社から多数発表されているが、企業のセキュリティチームが社内でどのような存在として見られているのか、そしてそれがセキュリティ対策にどう影響するのか、といった視点でデータを分析した今回の調査はユニークなものと言えそうだ。
実際にセキュリティチームが「やることなすこと口うるさくケチをつけてくる」と思われているようだと、実施するセキュリティ対策も現場で適切に運用してもらえないなどの不整合につながることが想像できる。ではどうすればいいのか、という点が課題となるが、現在のサイバーセキュリティ対策は全社一丸となって取り組むべき課題であり、部門横断的な協力体制を構築できないとうまくいかないということが改めて実証された結果と見てよいだろう。