2025年3月18日、デジタルアーツは、2022年から2024年の過去3年分の国内セキュリティインシデントを集計したセキュリティレポートを公開した。
同レポートでは、2022年から2024年の国内組織における情報漏えいなどにかかるセキュリティインシデントを、対象組織による公開報告書およびマスメディアによる報道資料をもとに独自に集計したという。
2024年の国内セキュリティインシデント総数は1,319件となり、昨年度の1,195件から増加傾向となった。昨年同様不正アクセスが372件で最多となり、マルウェア感染が315件、紛失・盗難が213件と続き、誤操作、設定不備、メール誤送信の割合が多くなったという。業務外利用・不正持出、誤操作、設定不備の件数は減少、特に業務外利用・不正持出は半数以上減少する結果になったとしている。
マルウェア感染におけるインシデントの中ではランサムウェアが9割以上を占めており、特に下半期に多く見られたという。このうち、サプライチェーンに起因するインシデントが半数以上を占めているとのことだ。
また、2024年におけるサプライチェーンに起因するインシデントの総数は500件を超えており、そのうち業務委託先が起因となったインシデントが9割以上を占めていたという。
エネルギー大手企業関連会社への不正アクセスや、物流業務を請け負う委託先企業のランサムウェア被害、印刷業務を請け負う委託先企業のランサムウェア被害が起因となった情報漏えいインシデントのように、業務委託先1件の被害が多数の委託元企業の情報漏えいにつながるインシデントが複数確認されており、サプライチェーンインシデントの被害は広範囲化、甚大化していると同社は述べている。
このような、業務委託先が起因となるインシデントは、企業のセキュリティ対策において新たな課題になっているという。本来は、業務委託先企業においても委託元の組織が策定した情報セキュリティポリシーに基づいた対策を実行することが望ましいが、現実では業務委託先企業間でセキュリティ対策にばらつきが生じている実情があるとのことだ。
また、現代のビジネスや取引構造の多層化により、多くの企業がサプライチェーンを担う時代となり、すべての企業に高いセキュリティを実装し、サプライチェーンリスクを無くすことは難しいと考えられるという。
加えて、学校・教育機関に起因するインシデントの総数も年々増加しており、176件が確認されたとのことだ。また、2024年も紛失・盗難、不正アクセス、誤操作、設定不備、メール誤送信の割合が多く、過去3年間の調査で最も多いのは、紛失・盗難だった。
前年同様、最も多いインシデントは生徒の個人情報を含む資料や指導要録、卒業証書授与台帳、修学旅行関連資料などの書類紛失であり、年々増加の傾向があるとしている。
【関連記事】
・ZIPファイル添付メールは5年で半減も、「パスワード付き」利用が半数以上に──デジタルアーツ調査
・三越伊勢丹システム・ソリューションズ、Webセキュリティ対策にデジタルアーツのi-FILTERを採用
・2024年上半期の国内セキュリティインシデントは551件 不正アクセスが最多──デジタルアーツ調査
