サイバー攻撃被害時、75％が「100万米ドル以上の身代金を支払ってもよい」──Cohesity調査

　Cohesityは2024年8月26日、「The Cohesity Global Cyber Resilience Report 2024」の分析結果を発表した。

調査結果

　回答者の78％が「自社のサイバーレジリエンス戦略と昨今のエスカレートするサイバー課題と脅威に対処する能力に自信をもっている」と回答。また、回答者の67％が「2024年にランサムウェア攻撃の被害者になった」、96％が「今年、自社の業界に対するサイバー攻撃の脅威が増加するだろう、または既に増加している」、59％が「2023年と比較して50％以上増加した、または増加するだろう」と回答した。

組織が「支払わない」ポリシーを覆し、身代金を支払うケースも

　回答者の大多数が、自社のサイバーレジリエンス戦略に「ほぼ自信がある」または「完璧に自信がある」と答えたにもかかわらず、「データの復旧とビジネスプロセスの復元、あるいはその迅速化のために身代金を支払わない」と答えたのは6％で、83％は「身代金を支払う」と回答。75％が、「データの復旧とビジネスプロセスの復元のためなら100万米ドル以上の身代金を支払ってもよい」と回答し、22％が「500万米ドル以上を支払ってもよい」と回答している。

　また、回答者の77％が「支払わないポリシーをもっている」と回答しているのにもかかわらず、回答者の69％が、調査を受ける前の過去1年間に「身代金を支払ったことがある」と回答。身代金を支払ったことのある2100人以上の回答者は、過去1年間に合計で以下の金額の身代金を支払ったことがあると回答した。

• 37％：1万米ドル～24万9999米ドルの身代金を支払った
• 23％：25万米ドル～49万9999米ドルの身代金を支払った
• 23％：50万米ドル～99万9,999米ドルの身代金を支払った
• 12％：100万米ドル～299万9,999米ドルの身代金を支払った
• 6％：300万米ドルから999万9999米ドルの身代金を支払った
• 0.33％：1000万米ドルから2500万米ドルの身代金を支払った

組織のサイバーレジリエンスに対する自信は、復旧・復元のスピードと比例しない

　サイバーレジリエンスとは、組織がサイバー攻撃を受けた際にデータを復旧し、ビジネスプロセスを復元する能力を定義するもの。回答結果いわく、サイバーレジリエンスは依然として事業継続を脅かす課題とされているという。

• 2％：24時間以内にデータを復旧し、ビジネスプロセスを復元できると回答
• 18％：1～3日以内にデータを復旧し、ビジネスプロセスを復元できると回答
• 32％：4～6日で復旧および復元できると回答
• 31％：1～2週間を要すると回答
• 16％：データ復旧とビジネスプロセスの復元に3週間以上必要と回答

　対照的に、「サイバー攻撃や情報漏洩が発生した場合に、ビジネスへの影響を最小限に抑えるために目標とする最適な復旧時間（RTO）」について尋ねたところ、回答者の98％が「目標は1日以内」と回答。45％は「目標とする最適なRTOは2時間以内」と回答した。

　サイバー攻撃やデータ侵害による事業継続の中断やダウンタイムに対する組織の許容範囲が「24時間以内である」と回答したのは2％だった。その他、回答者の31％は「ダウンタイムの許容範囲は1〜3日」と回答しており、53％は「4〜6日」、12％は「1週間以上」と回答している。また、回答者の49％が「過去6ヵ月間にサイバー攻撃やデータ漏洩への対応をシミュレーションすることで、データセキュリティ、データ管理、データ復旧のプロセスやソリューションをストレステストした」と回答した。

ゼロトラストセキュリティとデータプライバシーは依然として課題となってる

　回答者の54％が、「ITとセキュリティ間の重要データの一元的な可視性を改善することで、異常を検知し、機密データの暴露や侵害を判断することができる」と回答している。ゼロトラストセキュリティの原則に沿ったデータアクセス制御対策に対して行っていることを尋ねたところ、以下のような結果になった。

• 多要素認証（MFA）：52％
• 定足数管理または複数の承認を必要とする管理規則：49％
• 役割ベースのアクセス制御 （RBAC）：46％

　「機密データを特定し、適用されるデータプライバシー法や規制を遵守するためのIT・セキュリティテクノロジー能力をすべて備えている」と回答したのは、42％だった。しかし、回答者の79％は「高度な脅威検知、データ分離、データ分類は、サイバー保険の加入資格やサイバー保険契約の割引を確保するために不可欠である」とも回答している。

　また、「サイバー攻撃の影響を最も受けていると思う業界・業種」について尋ねたところ、世界全体での上位7つの業界・業種は、以下のような結果となった。

1. 40％：IT・テクノロジー
2. 27％：銀行・資産管理、金融サービス（保険会社を含む）
3. 24％：通信・メディア（ストリーミングサービスなど）
4. 23％：政府・公共サービス
5. 21％：公益事業 （水道、電気、ガス、その他エネルギーサービス会社など）、製造業

深刻化するサイバー脅威を管理するためのAIの利点と課題

　回答者の80％は「過去12ヵ月以内にAIベースと思われる攻撃や脅威に対応した経験がある」と回答。そのうち、「はい」と答えた回答者の82％が「これらの攻撃に対処し、対応するために必要なAIを活用したソリューションをもっている」と回答した。「過去1年間にAIを利用したサイバー攻撃やサイバー脅威に対応したことがない」と回答した18％のうち、49％は「今後の攻撃に対抗し、対応するために必要なAIを利用したソリューションをもっている」と回答、36％が「持っていない」と答え、15％が「わからない」と回答した。

調査概要

• 調査会社：Censuswide（Cohesityが委託）
• 調査期間：2024年6月27日〜7月18日
• 調査対象：ITおよびセキュリティ分野の意思決定者3139人（半々に近い割合）。なお、回答者が自社の業務を最もよく表す業種として選んだ上位5業種は、IT・通信、製造、金融サービス（保険を含む）、銀行・資産管理、病院・ヘルスケア

【関連記事】
・サイバー攻撃時、79％が「データの復旧などのために身代金を支払う」と回答──Cohesity調査
・Cohesity Japan代表取締役社長に倉橋秀則氏を任命、サイバーレジリエンス強化へ
・Cohesity、Veritasのデータ保護事業を統合　セキュリティソリューション開発など加速