サイバーリスク国際意識調査「Cyber Risk Index」
2022年下半期版を公開

~ゼロトラストの推進状況は28の国と地域中27位、出遅れる日本の法人組織~

2023年5月8日

トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長 兼 CEO:エバ・チェン 東証プライム:4704、以下、トレンドマイクロ)は、日本を含む28の国と地域を対象とした組織のサイバーセキュリティリスク意識調査「Cyber Risk Index(サイバーリスク指数。以下、CRI)」の2022年下半期(7月~12月)の調査結果を公開したことをお知らせします。

調査結果の詳しい内容はこちら

自組織のCyber Risk Indexを可視化する無償ツール「Cyber Risk Indexオンライン測定ツール(日本語版)」はこちら

CRIは当社が調査会社「Ponemon Institute」と共同で、組織のサイバーセキュリティリスク状況を可視化するために実施している国際意識調査です。年2回(上期:1月~6月と下期:7月~12月)実施しており、日本では前回の2022年上半期の調査結果に続き、3回目の発表となります。CRIの調査項目は、Cyber Preparedness Index(CPI:サイバー予防指数:全36問)とCyber Threat Index(CTI:サイバー脅威指数:全10問)で構成されています(図1)。今回の調査では、アジア太平洋、北米、中南米、欧州の計3,728組織(うち日本は90組織)のITセキュリティ関与者から回答を得ました。主な調査結果は以下の通りです※1
※1 文中のスコアは小数点第3位で四捨五入、パーセンテージは小数点第1位で四捨五入しています。

図1:Cyber Risk Indexの計算方法

 

1.       2022年下半期における日本のCRIは28の国と地域中6位

2022年下半期における日本のCRIのポイントは「0.19」で、6位という結果でした。サイバー予防指数であるCPIに注目すると日本は「5.61」となっており、調査対象国の中でもインドネシアに次いで2番目にCPIが高い結果となりました※2。これは、他国と比較して日本のサイバーセキュリティリスクに対する準備体制への意識が高いことを示しています。

更に、CPIとCTIのポイントの変化(図3)に着目すると、どちらも上昇傾向を示しているのが分かります。サイバー脅威指数を示すCTIの増加に関しては、近年日本においても病院や製造業などへのサイバー攻撃の被害が大きく報道されるようになり、法人組織を取り巻くサイバー攻撃への懸念が着実に顕在化していることが要因として考えられます。また、懸念される脅威の増加に比例して各組織のサイバーセキュリティに対する意識も高まっていることから、サイバー予防指数を示すCPIも増加していると考えられます。
※2 日本とインドネシアのCPIは「5.61」で同一(図2)ですが、小数点第三位の差でインドネシアが上回っていることから、日本は2番目にCPIが高い。

図2:Cyber Risk Indexのランキング(上位10位と下位5位を抜粋)

図3:日本のCPIとCTIポイントの変化


2.    ゼロトラストの推進状況は28の国と地域中27位、出遅れる日本の法人組織
CPIにおけるゼロトラスト関連の設問として、「積極的なゼロトラスト推進プロジェクトの発足」と「SASE(Secure Access Service Edge)ソリューションの導入もしくは必要性の評価」の結果(図4)を見ると、それぞれ「5.17(全体:5.64)」と「5.15(全体:5.54)」と、どちらも全体平均を下回っているのが分かります。前者のゼロトラスト推進プロジェクトの発足においては、日本は28の国と地域中27位という結果となり、世界がゼロトラストに向かって動いている中、大きく出遅れている現状が明らかになりました。
SASEはゼロトラストの実現において主要な役割を担うセキュリティ機能です。更に、法人組織におけるゼロトラストの実現においては、単一の技術だけではなく、エンドポイントセキュリティ、ネットワークセキュリティ、認証・認可などを実現する複数の技術の利用が必要です。そのためには、自組織の守るべき資産の状況の把握と予算やIT戦略に合わせた適切なタイムラインを引くこと、そして何よりも役員の理解・合意がゼロトラスト実現に向けては不可欠です。
各国政府がゼロトラストの実現へ向けた気運が高まるなか、日本の組織においてもその動向を注視し、高度な脅威への対策としてより強固なサイバーセキュリティ体制を構築していくことが求められます。
 

図4:ゼロトラスト関連の設問


3.    ITセキュリティ人材の雇用や育成に積極的な日本
CPIにおける人材関連の質問では「従業員への教育:6.30(全体:5.38)」と「人材の雇用や保持:6.21(全体:5.54)」といずれも日本は全体平均を上回っています(図5)。この数字からは、日本の法人組織はセキュリティ人材へのリソースの投資について積極的である傾向が見て取れます。
この背景としては、「セキュリティ人材の不足」が深刻化していることを要因として、日本の各組織が既存の従業員のセキュリティレベルの底上げや、セキュリティ人材の流出阻止、そしてセキュリティ人材の採用に多くの投資を行っていることが考えられます。デジタル化が進む限り、今後もサイバー攻撃は増加し続け、それに比例してサイバーセキュリティ人材の需要も増加することが予想されます。各組織は引き続きセキュリティ教育や人材の採用に投資する必要があるといえます。
 

図5:セキュリティ人材関連の設問

 

  • <調査概要>
  • 調査名:「Cyber Risk Index」2022年下半期版
  • 調査期間:2022年11~12月
  • 調査対象:全世界3,728組織のITセキュリティ関与者(図6)
  • 調査方法:Web調査

図6:調査対象の国と地域

 

  • 本リリースは2023年5月8日現在の情報をもとに作成されたものです。今後、内容の全部もしくは一部に変更が 生じる可能性があります。
  • TREND MICROは、トレンドマイクロ株式会社の登録商標です。各社の社名、製品名およびサービス名は、各社の商標または登録商標です。