サイバーリスク国際意識調査「Cyber Risk Index」~2022年上半期の結果から見える日本の課題は？~

トレンドマイクロはポネモン研究所（Ponemon Institute）と共同で、企業や組織のサイバーリスクに対する意識を算出するために、「Cyber Risk Index（サイバーリスク指数。以下、CRI）」を算出し、半期に一度公表しています。2018年に北米を対象とした調査から始まり、順次対象地域を拡大しており、今回結果を公表する2022年上半期の調査ではアジア太平洋、北米、中南米、欧州の計4,144組織（うち日本は92組織）のITセキュリティ関与者から回答が得られました。日本は前回の2021年下半期から調査対象として含まれています。

Cyber Risk Indexの計算方法は以下の通りです。基本的にCRIのポイントは高いほど企業や組織に取って好ましい状態であると言えます。
CRIの調査項目は、Cyber Preparedness Index（サイバー予防指数。全36問。以下、CPI）とCyber Threat Index（サイバー脅威指数。全10問。以下、CTI）で構成され、CPIは主に現状のサイバーセキュリティリスクに対する準備体制について（数値が大きいほど好ましい）、CTIは実際に直面しているもしくは懸念される脅威に関する設問（数値が小さいほど好ましい）が主な項目となります。

CPIとCTIは回答により0ポイント～10ポイントが適用されます。CRIはCPIの平均値からCTIの平均値を引くことで求められ、CRIの上限は＋10ポイント～下限は－10ポイントとなります（図3）。

2022年上半期における日本のCRIは28の国と地域中2位

さっそく世界の各国や地域に比べて、日本のCRIがどの程度であったか結果を見ていきます。2022年上半期における日本のCRIは「0.23」というポイントで、28の国と地域中2位という結果でした。上述したCRIの計算方法から述べると、サイバーリスクに対する準備体制が、直面もしくは懸念される脅威を上回っている場合にCRIのポイントが高くなるため、日本の企業や組織におけるサイバーセキュリティ体制は比較的良好な結果であると言えます。
また、前回2021年下半期における日本のCRIの結果は9位であり、CRIのポイントは「0.15」であったことからも、今回の2位、CRIポイント「0.23」という結果は、脅威に対するサイバーセキュリティ体制への意識は改善傾向にあることが見て取れます。

図5：2022年上半期のCyber Risk Indexのポイントによるランキング（上位10位と下位5位を抜粋）

一方で、前回1位の台湾がTOP10圏外（13位）、前回24位のスイスが今回1位といった結果となっており、その時々の組織におけるITインフラ環境の変化やサイバー攻撃者の動向によってCRIのランキングは容易に入れ替わります。そのため、本結果をもって一喜一憂することなく、自分たちのセキュリティ対策に常に課題意識を持って取り組んでいくことが重要になります。今回の結果から日本の組織において考慮すべき課題をより把握するために、各設問の結果について詳しくみていきます。

「修正プログラムの迅速な適用」が2期連続最下位。脆弱性管理が日本における課題か

まずは、主に現状のサイバーセキュリティリスクに対する準備体制に関する設問であるCPIの結果を見ていきます。CPI全体のポイントとしては前回2021年下半期の結果に比べて、「5.29」→「5.46」と上昇しているため、全体的には改善していることがわかります。一方で、「CEOや取締役会のセキュリティへの関与の積極性」、「最先端のセキュリティ技術への投資」、「修正プログラムの迅速な適用」、「脅威や脆弱性・攻撃を特定するための評価や監査の実施」といった設問については前回と同様、依然として全体平均より低い結果となっているため、今後も注視していく必要があります。

特に「修正プログラムの迅速な適用」の「3.57」というポイントについては、28の国と地域中前回と同様最下位となっています。2022年には、VPNの脆弱性を悪用した攻撃とその被害事例が日本においても多く報道されました。そして、修正プログラムが未適用のVPN機器に残存する脆弱性を悪用して認証情報を窃取するなど、脆弱性は今や攻撃者における標的組織への侵入手口の常套手段の一つとして認知されています。一方で、ランサムウェアなどの被害事例によると、各機器やシステムへの修正プログラムの適用についての運用が定まっていない組織や企業が少なからず存在していることが明らかになっています。なかにはベンダーと保守契約をしていないために重要な修正プログラムのリリースを認識していないなど、深刻な脆弱性の管理がおざなりになっていたというケースも散見されました。修正プログラムの迅速な適用はもちろん重要ですが、まずは脆弱性を認識するための体制づくりと、脆弱性対応の責任分界点を明確にすることから始めていくことが重要になります。自組織の脆弱性管理について不安がある場合には、「修正プログラムおよび脆弱性管理に関するガイドライン」であるNIST SP 800-40などを参考に脆弱性管理のプロセスを一度見直す機会を設けてもいいかもしれません。

一方で、「ITセキュリティ人材の採用へのリソース投下」、「セキュリティに関する従業員への教育へのリソース投下」といった項目については、どちらも全体平均を上回っています。DX（デジタルトランスフォーメーション）やクラウドシフトが進み、企業システムにおけるデジタル化のスピードがより一層速まるなか、IT業界では長年人材不足が叫ばれており、近年は特にセキュリティ人材の確保、育成が大きな課題であると言われています。日本の組織ではそうしたセキュリティ人材に対する課題を認識したうえで、人材の採用や育成にリソースを割いているということが、この結果から見て取れます。

日本における情報漏えいインシデントが増加。猛威を振るったEMOTETが要因か

次は過去に直面したインシデントや今後懸念される脅威に関する設問であるCTIの結果を見ていきます。CTI全体のポイントとしては前回2021年下半期の結果に比べて、「5.14」→「5.23」と上昇しているため、懸念される脅威が以前より大きくなっていることがわかります。そのなかでも過去12カ月の間の顧客情報関連漏えいインシデントが「日本：5.15（全体平均：4.61）」、過去12カ月の間の顧客情報関連漏えい事故が「日本：5.25（全体平均：4.79）」というポイントとなっており、いずれも全体平均を上回りました。当社がインターネット上で公表されている情報をもとに集計したデータでは、昨年2022年に日本で発生/公表された情報漏えいに関わるインシデント数が297件にのぼることからも、多くの組織が情報漏えいの被害にあっていることがわかります。特に2021年11月に活動を再開したマルウェア「EMOTET」が2022年2月から3月にかけて日本で多くの被害を出したことも、今回の情報漏えい事故のポイントに大きく反映していることが考えられます。

図10：国内でのEMOTET被害公表件数（公表事例をもとにトレンドマイクロが独自で集計）

今後懸念される脅威にビジネスメール詐欺(BEC)や脆弱性管理を悪用する攻撃が上位にランクイン。ランサムウェアは？

続いて、今後12カ月の間に懸念されるサイバー脅威に関する設問の結果を見ていきます。日本の組織において最も懸念される脅威は「ファイルレス攻撃」という結果となりました。これは日本の組織が高度な脅威＝ファイルレス攻撃というイメージを持っており、前述したCPIの設問において、最先端のセキュリティ技術への投資のポイントが低かったことから、ファイルレス攻撃を検知することが難しい脅威として感じている可能性が考えられます。また、今回の調査から設問に追加された「ビジネスメール詐欺（BEC）」と「脆弱性を悪用する攻撃」が日本では3位と5位にランクインしています。ビジネスメール詐欺については全体で1位にランクインしており、米連邦捜査局FBIのインターネット犯罪苦情センター（IC3）が公開した「Internet Crime Report 2021」によると、ビジネスメール詐欺の被害金額が24億ドルにもなったと伝えられています。そして、脆弱性を悪用する攻撃については、こちらも前述のCPIの結果において、日本の組織は修正プログラムの迅速な適用をはじめとした脆弱性管理に課題を抱えていると考えられることから、懸念される脅威の上位にランクインしていることが推測できます。

図11：今後12カ月の間に懸念されるサイバー脅威のランキング（上位5位と2022年上半期（日本）のランサムウェア）

一方で、日本において懸念される脅威のなかで、ランサムウェアが前回2021年下半期よりもランクが下がっていることが驚くべき点であるといえます。それまでランサムウェアの被害事例は海外からの報道が比較的多かった状況から、2022年上半期には日本企業においてもランサムウェアによって事業が停止するような被害事例が大きく報道されました。そのため、今回の調査では各組織がランサムウェアをより懸念される脅威として回答することを想定していましたが、結果としては前回よりもポイント、ランクともに下がっています。回答組織の認識や状況によって、調査ごとにポイントの振れは発生するため、今回ランサムウェアのポイントが下がった理由を一概に考察することは難しいですが、ランサムウェアによる被害は、情報処理推進機構IPAが先日公開した「情報セキュリティ10大脅威 2023」のなかでも3年連続組織における脅威のトップとしてランクインしているため、引き続き細心の注意を払う必要があると言えます。

まとめ

今回は2022年上半期におけるサイバーリスクインデックス調査の結果を見てきました。日本と全体におけるポイントの比較や、前回2021年下半期の結果と比べることで、組織における準備体制の課題や懸念される脅威への意識がどのように変わっているのか把握することができました。今後も組織におけるアタックサーフェス（攻撃対象領域）は拡大していき、攻撃者による新たな脅威に組織は対応し続ける必要があることから、引き続きトレンドマイクロでは、組織におけるサイバーリスクに対する意識調査を行うことで、日本におけるサイバー脅威やセキュリティ戦略における課題について考察を行っていきます。また、組織のリスク状況を可視化するための「Cyber Risk Index（CRI）オンライン測定ツール」を公開していますので、自組織におけるリスク状況を算出していただき、今回の日本や世界全体における結果と比較することで、改善すべきポイントを整理いただくことを推奨します。