パロアルトネットワークスは12月4日、日本の民間企業・公共機関におけるサイバーセキュリティへの投資意向やセキュリティソリューションの導入意欲に関する調査「Beyond 2025 - 国内民間企業・公共機関のサイバーセキュリティ施策と投資動向」の結果を発表。同社チーフサイバーセキュリティストラテジストの染谷征良氏がメディア向けに説明した。
調査概要
- 調査方法:インターネット調査
- 調査期間:2024年8月19日~22日
- 調査対象:サイバーセキュリティに関する決裁権者・意思決定権者527人
- 従業員規模内訳:10,000人~(195人)、5,000〜9,999人(93人)、1,000〜4,999人(239人)
- 売上高内訳(※):1兆円~(145人)、5000億~1兆円未満(88人)、1000億~5000億円未満(148人)、500億~1000億円未満(87名)(※民間の468人の内訳)
- 役職・役割内訳:民間企業(468人)、公共機関(59人)
染谷氏はまず、「2024年上半期に7割ほどの組織がサイバー攻撃や内部不正の被害を経験したと回答した」ことを挙げる。そのうち、サイバー攻撃被害は6割に上り、内訳ではシステム障害が31%だった。染谷氏は「(システム障害が)サイバー攻撃被害の1位になることはこれまでなかった。ランサムウェアの被害が広範に起きている可能性がある。海外のグループ会社や業務委託先が顕著」と説明する。内部不正被害では、個人情報漏洩が20%で最も多く「知財情報が狙われている」と警鐘を鳴らす。加えて染谷氏が顧客を支援するなかで、SaaSの通信を把握できていない企業が少なくないことに触れ「被害を把握できていない可能性もある」と続けた。
2024年上半期もランサムウェアによる被害は相次いで発生した。特に注目されたのが身代金の支払いの是非だ。この調査では各社の方針を問うたところ、78%が身代金を支払うべきではないとしたが、うち49%は「その状況になってみないと分からない」と回答。「支払いはやむを得ない」が10%、「身代金の支払いに関する方針がない」は9%だった。染谷氏は、身代金の支払い是非を検討する際の必要な要素として次の4つを提示。
- 事業活動への影響、犯罪活動への利益供与
- 法規制抵触の可能性、復旧可否の確証
- 被害再発の可能性、社会的評判への影響
- 自組織の財務状況・対策状況
染谷氏は「ランサムウェア対策として、バックアップをとっておけばいいのではと思うかもしれないが、あくまでシステムを正常に戻す手段であって、セキュリティ対策ではない」と強調。対策のポイントとして、「被害を未遂にする対策が大前提。そのうえで、被害に遭った場合の対応方針として誰に相談するのかといった準備が大事である」と話す。
法令・規制への対応として、インシデントの報告義務・適時開示義務についても質問した。その結果、54%が「影響やリスクの全貌を把握して期限内に報告・通知できる自信はない」と回答。報告の義務化が検討されている重要インフラも同程度の水準にとどまった。海外では、情報漏洩に関する誤解を招く情報を流したとして高額な罰金を科せる事例も近年発生しているという。染谷氏は「組織の中でどういうステークホルダーと連携して対応するか、経営層の判断で何を開示するかを、予め決めておくことが大事」と話した。
2025年度以降のサイバーセキュリティ予算については、83%が「増加する」と回答。インシデント経験した組織では88%が増加するとしている。具体的に重点強化していく点を聞いたところ、上位5つは次のものだった。
- ネットワークセキュリティ(65%)
- セキュリティ運用(47%)
- 脅威検出の強化(46%)
- エンドポイントセキュリティ(44%)
- SaaSセキュリティ(39%)
調査結果全体を踏まえて、染谷氏は「事業継続に影響を与えるインシデントが国内外で起きている。ダークウェブに暴露されたケースは昨年1年間で4,000件に上る」として、被害の未遂を目的にしたセキュリティ戦略の必要性を訴える。その上で、自組織に関係するステークホルダーに対して説明責任が果たせる対策と体制、デジタルとセキュリティの投資を一体化して考えることが重要だとした。
【関連記事】
・パロアルトネットワークス、PAN-OSの管理インタフェースにおける脆弱性悪用の攻撃活動情報を報告
・パロアルト、OTセキュリティソリューションの新機能を発表
・パロアルトネットワークス、「Precision AI」を起点としたセキュリティ担当者の負荷軽減へ
