日本の組織のサイバーセキュリティの実力は？ 29の国と地域を対象とした国際意識調査「Cyber Risk Index」

サイバーセキュリティリスク意識調査
「Cyber Risk Index」とは？
組織のサイバーセキュリティリスク意識調査「Cyber Risk Index（サイバーリスク指数。以下、CRI）は、トレンドマイクロが調査会社「Ponemon Institute」と共同で、法人組織のサイバーセキュリティリスク状況を可視化するために実施している国際的な意識調査です。

2018年の北米を対象とした調査を皮切りに、順次対象地域を拡大し、2021年より年2回（上期：1月～6月と下期：7月～12月）実施しています。今回調査結果を発表する2021年下半期分では、3,441組織（うち、日本は88組織）のITセキュリティ関与者から回答が得られました。日本は今回の2021年下半期分より調査対象地域となっています（文中のスコアは小数点第3位で四捨五入、パーセンテージは小数点第1位で四捨五入しています。）。

日本の調査結果をまとめたレポートはこちら
レポートダウンロード

Cyber Risk Indexの計算方法は以下の通りです。
CRIの調査項目は、Cyber Preparedness Index（サイバー予防指数。全31問。以下、CPI）とCyber Threat Index（サイバー脅威指数。全10問。以下、CTI）で構成され、CPIは主に現状のサイバーセキュリティリスクに対する準備体制について（数値が大きいほど好ましい）、CTIは実際に直面しているもしくは懸念される脅威に関する質問（数値が小さいほど好ましい）が主な項目となります。

CPIとCTIは回答により10ポイント～0ポイントが適用されます。CRIはCPIの平均値からCTIの平均値を引くことで求められ、CRI上限は＋10ポイント～下限は－10ポイントとなります（図1）。

そんなに悪くない？日本のサイバーセキュリティリスク状況、29の国と地域中9位さて、では日本は29ヵ国・地域中、何位だったのでしょう？すでに小見出しに答えが出ていますが、日本は9位でした。先ほどご説明したCRIの計算方法から述べると、上位ほど（数値が大きいほど）好ましい結果ですので、単純なランキングから言えば上位10位には入っており、比較的良好な結果ともいえるでしょう（単純にA~Cにクラス分けをすると「Aクラス」に入っているとも言えます）。

表１：2021年下半期のCyber Risk Indexポイント順のランキング（上位10位と米国・全体の数値を抜粋）

1位は電子製品の開発などが主要産業の1つである台湾。IT産業も盛んであり、組織のサイバーセキュリティ分野へ対策も盛んといえるのかもしれません。皆様にとって、意外だったのは米国の23位でしょうか。CTI順では最下位の29位となっていますが、CTIの質問には「懸念される脅威やリスク」に関する質問も含まれるため、米国の組織はサイバーセキュリティの問題を大きくとらえているとも言えるかもしれません。
いずれにしても、1位台湾のCRI0.53ポイント～最下位29位ベルギーのCRI-0.33ポイントの幅はわずか「0.86」に過ぎません。組織で利用しているテレワークやクラウド環境などのITインフラの変化やサイバー攻撃者の動向（攻撃手法や対象の変化）によって、このランキングは容易に入れ替わると考えておいた方が良いでしょう。

ディザスタリカバリ対策、規制対応は優等生の日本。では実際のサイバー攻撃対策は？では、日本は9位なのだから安心していて良いのでしょうか？ここからは日本の調査結果から、改善すべきポイントについて考察していきましょう。
日本は「組織のセキュリティ予算の十分さ（P-Q1）」について、他の地域と比較してそれほど多くないと感じている回答者が多く（日本：4.71、アジア太平洋：5.22、北米：4.98）、「CEOや取締役会のセキュリティへの関与の積極性（P-Q5）」についてもそれほど高くないと感じている回答者が多い結果となりました（グラフ1。日本4.57、アジア太平洋：4.94、北米：6.53）。

この結果自体は、トレンドマイクロ以外の調査などでも示されている傾向であり、今回の調査でも改めて確認できました。セキュリティ対策の責任者としては、予算の拡大や組織として投資すべき分野などについて、経営層やビジネス側の事業責任者との積極的な対話・連携が必要とも言えるでしょう。特に昨今では、ランサムウェア攻撃などで事業自体がストップする事例も国内外で多数公表されています。様々なビジネスインフラがデジタル化し、DX（デジタルトランスフォーメーション）によるビジネス拡大が謳われている昨今、セキュリティ対策責任者の役割はますます重要となってきているといえます。

さて、では現状の「限られた予算・リソース」はどの分野に投資されているのでしょうか？日本のセキュリティ対策に関するリソースは、「DR※1などの災害時の対策（P-Q17）」や「プライバシー要件など規制・規定への対応（P-Q18）」に多く割かれている傾向が読み取れます（グラフ3）。「脅威や脆弱性・攻撃を特定するための評価や監査の実施（P-Q25）」や「（機械学習など）最先端のセキュリティ技術への投資（P-Q8）」は他の地域より低い結果となり、昨今のサイバー攻撃への備えや適切な分野への投資に関する検討が必要と考えられます。
※1 ディザスタリカバリ（Disaster Recovery）：地震や津波、火事、テロなどの災害によるシステムへの被害を最小限に抑え、システムのダウンタイムの最短化や復旧を迅速に行う体制やその計画。

グラフ３：セキュリティに関する体制構築状況に関する主な質問の結果（各地域ごとの平均値）※2

※2 具体的な設問文は以下の通り（回答者は、設問に対する同意の度合いを5段階で回答。括弧内は和訳。調査実施時は日本の回答者にも英文の質問票で調査を実施している。グラフ2・3も同様）。「アジア太平洋」は日本を含む。
P-Q1. My organization’s security budget is sufficient to protect data assets and IT infrastructure.
（自組織のセキュリティ予算は、データ資産やITインフラを保護するのに十分である）
P-Q5. My organization’s CEO and Board of Directors are actively involved in overseeing the IT security function.
（自組織のCEOや取締役会は、ITセキュリティ部門の監督に積極的である）
P-Q17. My organization’s IT security function supports security in the DR and BCM environment.
（自組織のITセキュリティ対策は、DR（Disaster Recovery）やBCM（Business Continuity Management：事業継続マネジメント）
をカバーしている）
P-Q18. My organization’s IT security function complies with data protection and privacy requirements.
（自組織のITセキュリティ対策は、データ保護とプライバシー要件に準拠している）
P-Q25. My organization’s IT security function conducts assessments and/or audits to identify threats, vulnerabilities and attacks.
（自組織のITセキュリティチームは、脅威や脆弱性・攻撃を特定するために評価や監査を実施する）
P-Q8. My organization makes appropriate investments in leading-edged security technologies such as machine learning, automation,orchestration, analytics and/or artificial intelligence tools.
（自組織は、機械学習や自動化、オーケストレーション、分析、人工知能など最先端のセキュリティ技術に適切な
投資を行っている）

上記に加えて、「（脆弱性に対する）修正プログラム（パッチ）の迅速な適用」について、日本は29の国・地域中最下位（グラフ4。CPI2.86）であり、グラフ3の「脅威や脆弱性・攻撃を特定するための評価や監査の実施」の状況と比較すると、セキュリティパッチの導入に対して慎重というよりも、脆弱性自体の把握について改善が必要である可能性があります。

ランサムウェア攻撃をはじめ、昨今のサイバー攻撃では外部からの侵入や内部活動時に「脆弱性」が悪用されるケースが散見されます。実際のサイバー攻撃を防ぐための予防策、という意味でも現状の対策で十分なのか再点検が必要と言えそうです。

グラフ４：「（脆弱性に対する）セキュリティパッチの迅速な適用（P-Q24）」に関する質問の各地域の平均点※3

※3 具体的な設問文は以下の通り。回答者は、設問に対する同意の度合いを5段階で回答。
Q24. My organization’s IT security function is quick to test and install all security patches.
（自組織のITセキュリティ対策は、セキュリティパッチを迅速にテストし、適用する）

「サイバー攻撃の実害」は自然災害と同じ？今度は、実際に直面しているもしくは懸念される脅威に関する質問から構成される「Cyber Threat Index（サイバー脅威指数」に目を移してみましょう。「今後1年間で懸念されるサイバー脅威」に関する調査では、日本の組織が最も懸念するサイバー脅威は「フィッシング詐欺とソーシャルエンジニアリング」（表2。日本7.41、アジア太平洋6.91、欧州6.74、中南米5.15、北米7.28）でした。一方で「ランサムウェア」などの昨今のサイバー攻撃に関する日本の組織の懸念は欧州・米国より低く（グラフ3。日本6.34、欧州6.89、北米8.30）、これはグラフ1の「セキュリティに関する体制構築状況」の結果と関係している可能性があります。

「フィッシング詐欺とソーシャルエンジニアリング」は、それ単独での単純な詐欺行為に用いられることもありますが、結果的にランサムウェア攻撃や大規模な情報漏洩被害につながる端緒になることもあります。日本の組織の懸念が現状のサイバー攻撃の傾向と比較した際に、攻撃の導入部分、すなわち「侵入部分」に重きを置いているとも言え、万が一侵入された際にもどのようにサイバー攻撃による実害を防ぐのか、という観点での対策の見直しも同時に必要とも言えそうです。

表２: 今後1年間で懸念されるサイバー脅威（各エリアごと上位5つ。括弧は平均値）※4

グラフ5：今後1年間で懸念されるサイバー脅威（「ランサムウェアのみ」。各地域の平均値）※4

※4 具体的な設問文は以下の通り（回答者は、設問に対する同意の度合いを5段階で回答）。
T-Q8. Following are cyber threats that may be experienced by your organization within the next 12 months. Please rate each threat using the following 5-point likelihood scale.
（以下は、組織で発生する可能性のあるサイバー脅威の例です。今後12か月以内に自組織でのこれらが発生するリスクの高さについて、5段階で評価してください）

また「サイバー攻撃に起因する実害として懸念されるもの」についても、日本は「設備の盗難や損傷」が他のエリアと比較して突出して高く（グラフ6。日本7.77、アジア太平洋6.41、欧州5.55、中南米6.04、北米6.16）、「重要インフラの停止や損傷」も他の地域より高い結果となりました。これは日本が世界的にも自然災害に遭いやすいことなどから、サイバー攻撃による実害も自然災害と同様に捉えられているものと思われます。一方で、「ブランドイメージの低下」は他のエリアよりも高いものの、「収益の損失」は他のエリアよりも低い結果となり（日本3.30、アジア太平洋4.02、欧州4.79、中南米4.25、北米6.25）、日本の多くの組織においてはサイバー攻撃による実害が、事業継続に直結する要素として、把握されていない可能性があります。

自然災害とサイバー攻撃を比較した場合、両者は共通点もありますが、「設備の損傷だけでなく、情報漏洩などを伴う可能性がある」ことなど、異なる点も存在します（図2）。サイバー攻撃対策を検討する際に、改めて「自組織にとっての実害」について把握・検討することをお勧めします。

※5 具体的な設問文は以下の通り（回答者は、設問に対する同意の度合いを5段階で回答）。
T-Q9. Following are negative consequences that your organization may experience as a result of a cyber attack or breach within the next 12 months. Please rate each negative consequence using the following 5- point likelihood scale:
（以下は、サイバー攻撃または侵害の結果として組織が経験する可能性のある悪影響の例です。自組織での今後12か月の間にこれらが発生するリスクの高さについて、5段階で評価してください）

日本と世界の対比にとどまらない？サプライチェーンを考慮したグローバル規模全体での対策も必要さて、ここまで日本と世界を対比して考察してきましたが、読者の皆様が所属される企業・組織では日本国内のみで、ビジネスが完結しているところも珍しいかもしれません。多くの組織では海外の自社拠点やビジネスパートナーと接点を持っているところも多いでしょう。昨今では、こうしたビジネス上の「サプライチェーン」を悪用して、海外拠点や他社を経由して本社ネットワークに侵入する「サプライチェーン攻撃」も行われています。このため、多くの企業にとっては他の自社の海外拠点やビジネスパートナーのセキュリティレベルにも配慮をしなくてはならない状況になっています。

この観点で見た場合、「日本だけが良ければよい」というだけでは、サイバー攻撃に立ち向かうことが難しいことがお分かりいただけるでしょうか？表3は、今回のCRIランキングの全順位です。自組織の海外拠点やビジネスパートナーの国・地域がどのあたりにランクしているか、またここまでのグラフで示した各エリアごとの傾向と合わせて分析することで、サプライチェーンを考慮したグローバル規模全体での対策レベル向上に役立てていただければ幸いです。