サイバー攻撃時、79％が「データの復旧などのために身代金を支払う」と回答──Cohesity調査

　Cohesityは2024年7月30日、日本企業におけるサイバーレジリエンスに関する調査結果を発表した。

調査概要

• 調査会社：Censuswide（Cohesityが委託）
• 調査期間：2024年6月27日～2024年7月18日
• 調査対象：日本のITおよびセキュリティ分野の意思決定者301名（半々に近い割合）。なお、回答者の業種はIT・通信、金融サービス（保険会社を含む）、製造、病院・ヘルスケアが上位

調査結果

　回答者の76％が、「自社のサイバーレジリエンス戦略と昨今のエスカレートするサイバー課題と脅威に対処する能力に自信をもっている」と回答した。同時に、回答者の71％が2024年に「ランサムウェア攻撃の被害者になった」、また98％が「今年、自社の業界に対するサイバー攻撃の脅威が増加するだろう、または既に増加している」「77％が2023年と比較して50％以上増加するだろう」と回答した。

組織が「支払わない」ポリシーを覆し、身代金を支払うケースも

　多数の回答者が、自社のサイバーレジリエンス戦略に「ほぼ自信がある」または「完璧に自信がある」と答えたが、その内79％は、「データの復旧とビジネスプロセスの復元、またはその迅速化のために身代金を支払う」と回答し、「支払わない」と回答したのは12％だった。「身代金の金額によっては支払うかもしれない」と回答したのは9％だった。 実際、回答者の77％は、「データの復旧とビジネスプロセスの回復のためなら身代金100万米ドル以上を支払ってもよい」と回答し、24％は「500万米ドル以上を支払ってもよい」と回答している。

　また、回答者の70％は「調査前の過去1年間に身代金を支払ったことがある」と回答している一方で、85％が「自社において身代金を支払わないポリシーがある」と回答している。過去1年間に代金を支払ったことのある回答者210人は、合計で以下の金額の身代金を支払ったと回答している。

• 36％：1～39,700,000円／1～249,999米ドルの身代金を支払った
• 26％：39,700,110～79,400,000円／250,000～499,999米ドルの身代金を支払った
• 20％ ：79,400,000～158,800,000円／500,000～999,999米ドルの身代金を支払った
• 3％：476,500,000～794,400,000円／1,000,000～2,999,999米ドルの身代金を支払った
• 1％：794,400,000～1,588,800,000円／3,000,000～9,999,999米ドルの身代金を支払った

組織のサイバーレジリエンスに対する自信は、復旧・復元のスピードと比例しない

　日本の回答者によると、サイバーレジリエンスは依然として事業継続を脅かす課題であるとされているという。以下は、データを復旧し、ビジネスプロセスを復元できるまでにかかる時間を質問した結果。

• 2％：24時間以内にデータを復旧し、ビジネスプロセスを復元できると回答
• 13％：1～3日以内にデータを復旧し、ビジネスプロセスを復元できると回答
• 28％：4～6日で回復および復元できると回答
• 37％：1～2週間を要すると回答
• 17％：データ復旧とビジネスプロセスの復元に3週間以上必要と回答

　「サイバー攻撃や侵害事件が発生した場合に、ビジネスへの影響を最小限に抑えるために目標とする最適な復旧時間（RTO）」について尋ねたところ、回答者の95％が「目標は1日以内」と回答したが、実際に「同じ期間内にデータを復旧し、ビジネスプロセスを復元できた」と回答したのは2％だった。中でも、38％が「目標とする最適なRTOは2時間以内である」と回答した。

　そして、サイバー攻撃やデータ漏洩による事業継続の中断やダウンタイムに対する組織における許容範囲が24時間以内と回答した人は、0.33％と少数だった。実際、日本の回答者の32％が「ダウンタイムの許容範囲は1〜3日以内」、54％が「4〜6日」、10％が「1週間以上」と回答。回答者の45％が、「過去6ヵ月間にサイバーイベントやデータ漏洩への対応をシミュレーションし、データセキュリティ、データ管理、データ復旧のプロセスやソリューションをストレステストした」と回答している。

ゼロトラストセキュリティとデータプライバシーは依然として課題となっている

　異常を検知し、機密データの暴露や侵害を判断するために「ITとセキュリティ間で重要データを一元的に可視化」していると回答したのは38％だった。また、ゼロトラストセキュリティの原則に沿ったデータアクセス制御対策について尋ねたところ、日本では多要素認証、複数の承認を必要とするQuorumまたは管理ルール、役割ベースのアクセス制御を導入している組織は半数に満たなかった。

• 多要素認証 (MFA)：48％
• 役割ベースのアクセス制御 (RBAC)：45％
• 定足数管理または複数の承認を必要とする管理規則：38％

　全回答者のうち、「機密データを特定し、適用されるデータプライバシー法や規制を遵守するためのIT・セキュリティテクノロジー能力をすべて備えている」と回答したのは、36％だった。しかし、回答者の80％は「高度な脅威検知、データ分離、データ分類は、サイバー保険の加入資格やサイバー保険契約の割引を確保するために不可欠である」とも回答している。

　「サイバー攻撃の影響を最も受けていると思う業界・業種があれば教えてください」という質問に対し、回答者は日本で最も影響を受けているトップ7の業界・業種として、以下のように回答した。

1. IT・テクノロジー：32％
2. 金融サービス（保険会社を含む）：27％
3. 通信・メディア（ストリーミングサービスなど）、銀行・資産管理、政府・公共サービス：24％
4. 製造業：23％
5. 公益事業 （水道、電気、ガス、その他エネルギーサービス会社など）：22％

深刻化するサイバー脅威を管理するためのAIの利点と課題

　回答者の企業では現在77％以上が、過去1年以内にAIベースと思われる攻撃や脅威に対応した経験があると回答。「ある」と答えた回答者の81％は「これらの攻撃に対抗し、対応するために必要なAIを活用したソリューションをもっている」と回答した。「ない」と回答した18％のうち、36％は「これらの攻撃に対抗し対応するために必要なAIを利用したソリューション をもっている」と回答、 47％は「持っていない」と回答、17％は「わからない」と回答した。

【関連記事】
・Cohesity Japan代表取締役社長に倉橋秀則氏を任命、サイバーレジリエンス強化へ
・Cohesity、Veritasのデータ保護事業を統合　セキュリティソリューション開発など加速
・2024年第1四半期、検知したWebアプリケーションへのサイバー攻撃は2億件超──サイバーセキュリティクラウド調査