29の国と地域を対象とした組織のサイバーセキュリティリスク意識調査
「Cyber Risk Index」2021年下半期版を公開

~日本のリスクレベルは9位、セキュリティ予算配分やリスク把握に改善の余地あり~

2022年6月21日

トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長 兼 CEO:エバ・チェン 東証プライム:4704、以下、トレンドマイクロ)は、日本を含む29の国と地域を対象とした組織のサイバーセキュリティリスク意識調査「Cyber Risk Index(サイバーリスク指数。以下、CRI)」の2021年下半期(7月~12月)の調査結果を公開したことをお知らせします。

レポートのダウンロードはこちら

CRIは当社が調査会社「Ponemon Institute」と共同で、組織のサイバーセキュリティリスク状況を可視化するために実施している国際的な意識調査です。2018年の北米を対象とした調査を皮切りに、順次対象地域を拡大し、2021年より年2回(上期:1月~6月と下期:7月~12月)実施しています。今回調査結果を発表する2021年下半期分では、3,441組織(うち、日本は88組織)のITセキュリティ関与者から回答が得られました。日本は今回より調査対象となりました。

本レポートの主なトピックは以下の通りです※1
※1 文中のスコアは小数点第3位で四捨五入、パーセンテージは小数点第1位で四捨五入しています。

1. 組織のサイバーセキュリティリスク状況、日本は全29の国と地域中9位

CRIの調査項目は、Cyber Preparedness Index(サイバー予防指数。全31問。以下、CPI)とCyber Threat Index(サイバー脅威指数。全10問。以下、CTI)で構成され、CPIとCTIは回答により10ポイント~0ポイントが適用されます。
CRIはCPIの平均値からCTIの平均値を引くことで求められ、CRI上限は+10ポイント~下限は-10ポイントとなります。CPIは主に現状のサイバーセキュリティリスクに対する準備体制について(数値が大きいほど好ましい)、CTIは実際に直面しているもしくは懸念される脅威に関する質問(数値が小さいほど好ましい)が主な項目となります(図1)。

●図1:Cyber Risk Indexの計算方法の概念図


今回のCRIランキングでは、日本は全29の国と地域中9位となりました(1位は台湾、米国は23位)。日本は、CPI順でも9位(数値の大きい順)、CTIでは13位(数値の小さい順)となりました。日本は準備体制に関する意識は高いものの、ITセキュリティ投資分野や脅威に関するリスクの把握など改善が必要と考えられる点が見られました。

●表1:2021年下半期のCyber Risk Indexポイント順のランキング(上位10位と米国・全体の数値を抜粋)

 

2. 日本は限られたセキュリティ予算を実際のサイバー攻撃を防ぐ対策に割けていない
日本は「組織のセキュリティ予算の十分さ(P-Q1)」について、他のエリアと比較してそれほど多くないと感じている回答者が多く(日本:4.71、アジア太平洋:5.22、北米:4.98)、「CEOや取締役会のセキュリティへの関与の積極性(P-Q5)」についてもそれほど高くないと感じている回答者が多い結果となりました(日本4.57、アジア太平洋:4.94、北米:6.53)。
また、日本のセキュリティ対策に関するリソースは、「DR※2などの災害時の対策(P-Q17)」や「プライバシー要件など規制・規定への対応(P-Q18)」に多く割かれている傾向が読み取れるほか、「脅威や脆弱性・攻撃を特定するための評価や監査の実施(P-Q25)」や「(機械学習など)最先端のセキュリティ技術への投資(P-Q8)」は他のエリアより低い結果となり、昨今のサイバー攻撃への備えや適切な分野への投資に関する検討が必要と考えられます。
※2 ディザスタリカバリ(Disaster Recovery):地震や津波、火事、テロなどの災害によるシステムへの被害を最小限に抑え、システムのダウンタイムの最短化や復旧を迅速に行う体制やその計画。

●グラフ1:セキュリティに関する体制構築状況に関する主な質問の結果(日本と各エリアごとの平均値)※3

※3 具体的な設問文は以下の通り(回答者は、設問に対する同意の度合いを5段階で回答。括弧内は和訳。調査実施時は日本の回答者にも英文の質問票で調査を実施している。グラフ2・3も同様)。「アジア太平洋」は日本を含む。
P-Q1. My organization’s security budget is sufficient to protect data assets and IT infrastructure.(自組織のセキュリティ予算は、データ資産やITインフラを保護するのに十分である)
P-Q5. My organization’s CEO and Board of Directors are actively involved in overseeing the IT security function.(自組織のCEOや取締役会は、ITセキュリティ部門の監督に積極的である)
P-Q17. My organization’s IT security function supports security in the DR and BCM environment.(自組織のITセキュリティ対策は、DR(Disaster Recovery)やBCM(Business Continuity Management:事業継続マネジメント)をカバーしている)
P-Q18. My organization’s IT security function complies with data protection and privacy requirements.(自組織のITセキュリティ対策は、データ保護とプライバシー要件に準拠している)
P-Q25. My organization’s IT security function conducts assessments and/or audits to identify threats, vulnerabilities and attacks.(自組織のITセキュリティチームは、脅威や脆弱性・攻撃を特定するために評価や監査を実施する)
P-Q8. My organization makes appropriate investments in leading-edged security technologies such as machine learning, automation, orchestration, analytics and/or artificial intelligence tools.(自組織は、機械学習や自動化、オーケストレーション、分析、人工知能など最先端のセキュリティ技術に適切な投資を行っている)

 

3.日本はサイバー攻撃の実害を「物的損害」を中心に考えている可能性がある
「今後1年間で懸念されるサイバー脅威」に関する調査では、日本の組織が最も懸念するサイバー脅威は「フィッシング詐欺とソーシャルエンジニアリング」(表2。日本7.41、アジア太平洋6.91、欧州6.74、中南米5.15、北米7.28)でした。一方で「ランサムウェア」などの昨今のサイバー攻撃に関する日本の組織の懸念は欧州・米国より低く(グラフ2。日本6.34、欧州6.89、北米8.30)、それがトピック2の「セキュリティに関する体制構築状況」の結果と関係している可能性があります。
また「サイバー攻撃に起因する実害として懸念されるもの」についても、日本は「設備の盗難や損傷」が他のエリアと比較して突出して高く(グラフ3。日本7.77、アジア太平洋6.41、欧州5.55、中南米6.04、北米6.16)、「重要インフラの停止や損傷」も他のエリアより高い結果となりました。これは日本が世界的にも自然災害に遭いやすいことなどから、サイバー攻撃による実害も自然災害と同様に捉えられているものと思われます。一方で、「ブランドイメージの低下」は他のエリアよりも高いものの、「収益の損失」は他のエリアよりも低い結果となり(日本3.30、アジア太平洋4.02、欧州4.79、中南米4.25、北米6.25)、日本の多くの組織においてはサイバー攻撃による実害が、事業継続に直結する要素として、把握されていない可能性があります。
自然災害とサイバー攻撃を比較した場合、両者は共通点もありますが、「設備の損傷だけでなく、データ漏えいなどを伴う可能性がある」ことなど、異なる点も存在します。サイバー攻撃対策を検討する際に、改めて「自組織にとっての実害」について把握・検討することをお勧めします。

●表2:今後1年間で懸念されるサイバー脅威(各エリアごと上位5つ。括弧は平均値)※4

 

●グラフ2:今後1年間で懸念されるサイバー脅威(「ランサムウェアのみ」。日本と各エリアの平均値)※4

※4 具体的な設問文は以下の通り(回答者は、設問に対する同意の度合いを5段階で回答)。
T-Q8. Following are cyber threats that may be experienced by your organization within the next 12 months. Please rate each threat using the following 5-point likelihood scale.(以下は、組織で発生する可能性のあるサイバー脅威の例です。今後12か月以内に自組織でのこれらが発生するリスクの高さについて、5段階で評価してください)


●グラフ3:サイバー攻撃に起因する実害として今後1年間に懸念されるもの※5

※5 具体的な設問文は以下の通り(回答者は、設問に対する同意の度合いを5段階で回答)。
  T-Q9. Following are negative consequences that your organization may experience as a result of a cyber attack or breach within the next 12 months. Please rate each negative consequence using the following 5- point likelihood scale:(以下は、サイバー攻撃または侵害の結果として組織が経験する可能性のある悪影響の例です。自組織での今後12か月の間にこれらが発生するリスクの高さについて、5段階で評価してください)

<調査概要>

  • 調査期間:2021年11~12月
  • 調査対象:全世界3,441組織のITセキュリティ関与者(グラフ4および表2参照)
  • 調査方法:Web調査


●グラフ4:回答者の組織内での役職


●グラフ5:所属組織の業種

 

 

●表3:調査対象の国・エリア※6

国・エリア名 サンプル組織数
日本 88
アジア太平洋(日本除く) 787
欧州 886
中南米 700
北米 980
合計
3,441

※6 各エリアの内訳(計29の国・地域)
・アジア太平洋(12の国・地域):日本、オーストラリア、香港、インド、 ニュージーランド、台湾、インドネシア、マレーシア、フィリピン、シンガポール、タイ、ベトナム
・欧州(8の国・地域):ベルギー、フランス、ドイツ、イタリア、オランダ、スペイン、スイス、イギリス
 ・中南米(7の国・地域):アルゼンチン、ブラジル、チリ、コスタリカ、メキシコ、ペルー、エクアドル
・北米(2の国・地域):米国、カナダ

 

  • 本リリースは、2022年6月21日現在の情報をもとに作成されたものです。
  • TREND MICRO、およびSecuring Your Connected Worldは、トレンドマイクロ株式会社の登録商標です。各社の社名、製品名およびサービス名は、各社の商標または登録商標です。