- 40%の組織がサイバー攻撃による被害を経験しており、48%は適切な機関に報告していなかったことが明らかに
日本・東京、2023年10月10日 – パスワード、特権アクセス、シークレット、リモート接続の保護に向けてゼロトラストおよびゼロ知識アーキテクチャを活用したクラウドベースのサイバーセキュリティソフトウェアを提供するKeeper Security APAC株式会社(アジアパシフィック本社:東京、CEO・共同創業者:Darren Guccione、以下「キーパー・セキュリティ」)は、「サイバー攻撃による被害調査:インシデント報告と情報開示(Cybersecurity Disasters Survey: Incident Reporting & Disclosure)」に関する調査結果を発表しました。この調査結果から、サイバーセキュリティ攻撃と侵害の報告において、社内経営層および外部機関の両方において十分な対応が取られていないケースがあることが分かりました。
サイバーセキュリティ被害の報告が不十分
キーパー・セキュリティが実施した調査では、サイバー脅威のリスクが増大しているにもかかわらず、サイバー攻撃による被害の報告に関する体制が整っていないことが示されました。回答者の74%はサイバー攻撃による組織への影響を懸念していると回答し、40%が何らかの形でサイバー被害を経験したことがあると回答しています。こうした懸念があるにもかかわらず、多くの場合、社内の経営層および社外の適切な機関に対して侵害の事実が報告されずにいます。
- 社外への報告:回答者の48%は、社外の適切な機関に報告されなかったサイバー攻撃を認識している。
- 社内への報告:サイバー攻撃の41%は社内の経営層に報告されなかった。
不十分な被害報告と強い罪悪感
攻撃や侵害を経営層に報告しなかったことがあると回答した中の75%は、報告しなかったことに罪悪感を感じていると回答しています。批判的な反応への恐れ、失念、誤解、不十分なサイバー文化といった要因が、セキュリティ侵害の過少報告を引き起こしています。攻撃や侵害が経営層に報告されなかった理由のトップ3は次のとおりです。
- 批判的な反応を恐れた(43%)
- 報告する必要がないと思った(36%)
- 報告を忘れた(32%)
サイバーセキュリティを後回しにする組織文化
調査では、長期にわたる財務的な損失やブランドの評判悪化を招く可能性があるにもかかわらず、情報開示と透明性に欠ける慣行が見られました。報告しなかったことの主な原因は、組織の評判を傷つけることへの短期的な懸念(43%)と財務的な影響への恐れ(40%)です。
また回答者は、組織の経営層がサイバーセキュリティ対応に強い関心を持ち、ITおよびセキュリティチームの役割を理解し、チームによる攻撃の報告と対処に必要なリソースとサポートを提供する必要があると回答しています。
- 回答者の48%は、経営層はサイバー攻撃を気にかけていない(25%)、または対応しない(23%)だろうと回答。
- 回答者の22%は、情報漏えいを報告するための「体制が整っていない」と回答。
キーパー・セキュリティのCEO兼共同創業者であるDarren Guccioneは、「これらの調査結果は、組織がサイバーセキュリティに関する文化を大きく変革する必要があることを示しています。説明責任はトップの行動から始まり、経営層はサイバーセキュリティ被害の報告を優先する企業文化を生み出す必要があります。こうした取り組みを怠ると、法的責任や高額な制裁金の対象となり、自社や従業員だけでなく、社外の利害関係者、パートナーや顧客をリスクにさらすことにもなります」と話しています。
ベストプラクティス
現在のセキュリティ環境は多くのリスクに囲まれています。企業は透明性の確保と誠実なサイバー被害の報告を奨励し、継続する脅威から保護するためのベストプラクティス、ポリシー、手順を確立することが重要です。パスワードや特権アクセス管理を含め、サイバー被害を防ぐ最も効果的な方法のいくつかは、最もシンプルでありながら、組織を保護する上で最も重要なものです。
詳細については、こちらからレポート全文をダウンロードしてください。
調査概要
このレポートは、2023年6月1日~7月31日にかけて北米と欧州のITおよびセキュリティ担当者400人を対象に、サイバー攻撃による被害、被害の報告と復旧に関する知見を得るため、米国の調査会社であるTrendCandy Research社に依頼して実施したインターネット調査に基づくものです。キーパー・セキュリティでは、「サイバーセキュリティ被害」を情報システムの機密性、完全性や可用性に深刻な影響を及ぼす事象と特徴づけています。