世界で進むゼロトラストの気運に日本はついていけるのか?~サイバーリスク国際意識調査「Cyber Risk Index」 2022年下半期~
2022年下半期に実施したサイバーリスクに関する国際意識調査「Cyber Risk Index」をもとに、日本の組織のセキュリティ体制が懸念される脅威に対してどれだけ準備ができているのか、調査結果と共に考察します。
トレンドマイクロはポネモン研究所(Ponemon Institute)と共同で、企業や組織のサイバーリスクに対する意識を算出するために、「Cyber Risk Index(サイバーリスク指数。以下、CRI)」を算出し、半期に一度公表しています。2018年に北米を対象とした調査から始まり、順次対象地域を拡大しており、今回結果を公表する2022年下半期の調査では図1のとおり、アジア太平洋、北米、中南米、欧州の計3,728組織(うち日本は90組織)のITセキュリティ関与者から回答が得られました。日本は2021年下半期から調査対象として含まれており、今回で3回目となります。日本が調査対象となった過去の結果の詳細については、以下の記事よりご覧ください。
●2021年下半期:日本の組織のサイバーセキュリティの実力は? 29の国と地域を対象とした国際意識調査「Cyber Risk Index」
●2022年上半期:サイバーリスク国際意識調査「Cyber Risk Index」~2022年上半期の結果から見える日本の課題は?~
Cyber Risk Indexの計算方法は図4のようになります。基本的にCRIのポイントは高いほど企業や組織にとって好ましい状態であると言えます。
CRIの調査項目は、Cyber Preparedness Index(サイバー予防指数。全36問。以下、CPI)とCyber Threat Index(サイバー脅威指数。全10問。以下、CTI)で構成され、CPIは主に現状のサイバーセキュリティリスクに対する準備体制について(数値が大きいほど好ましい)、CTIは実際に直面しているもしくは懸念される脅威に関する設問(数値が小さいほど好ましい)が主な項目となります。
CPIとCTIは回答により0ポイント~10ポイントが適用されます。CRIはCPIの平均値からCTIの平均値を引くことで求められ、CRIの上限は+10ポイント~下限は-10ポイントとなります(図4)。
2022年下半期における日本のCRIは28の国と地域中6位
世界の各国や地域に比べて、日本のCRIがどの程度であったか結果を見ていきます。図5に示すとおり、2022年下半期における日本のCRIは「0.19」というポイントで、28の国と地域中6位という結果でした。また、サイバー予防指数であるCPIに注目すると日本は「5.61」となっており、インドネシアに次いで2番目にCPIが高い結果となり、他国と比較してサイバーセキュリティリスクに対する準備体制への意識は高いことが見受けられます。(図5上で日本とインドネシアのCPIは「5.61」で同一ですが、小数点第三位の差でインドネシアが上回っていることから、日本は2番目にCPIが高いということになります。)
また、日本が調査対象となってから今回までのCRIの順位は、「9位」⇒「2位」⇒「6位」という結果となっており、常にTOP10内を維持しています。CRIのランキングは、その時々の組織におけるITインフラ環境の変化やサイバー攻撃者の動向によって回答者のセキュリティ意識や懸念が変わるため、調査ごとに順位が入れ替わりやすい性質があります。しかし、そのなかでも日本は継続して上位に位置しているということは、懸念されるサイバー脅威に対して準備を整える意識が常に高いといえるかもしれません。
一方で、過去の調査結果におけるCPIとCTIのポイントの変化(図7)に着目すると、どちらも上昇傾向を示しています。サイバー脅威指数を示すCTIの増加に関しては、近年日本においても病院や製造業などにおいて象徴的なサイバー犯罪に関する被害が大きく報道されるようになり、組織や企業を取り巻くサイバー脅威への懸念が着実に顕在化していることが要因として考えられます、また、懸念される脅威の増加に比例して各組織のサイバーセキュリティに対する意識が高まっていることから、サイバー予防指数を示すCPIが増加していることが考えられます。
今回の結果から日本の組織において考慮すべき課題をより把握するために、各設問の結果について詳しくみていきます。
「修正プログラムの適用」と「脅威インテリジェンスの取得」が3期連続アジア太平洋平均を下回る
まずは、主に現状のサイバーセキュリティリスクに対する準備体制に関する設問であるCPIの結果を見ていきます。CPI全体のポイントとしては過去2回の結果に比べて、「5.29」→「5.46」→「5.61」と上昇を続けており、セキュリティリスクへの準備体制の意識が改善していることがわかりました。
一方で、日本が調査対象となってから3期連続でアジア太平洋平均を下回る設問がありました。一つは「修正プログラムを迅速にテスト・適用できているか」、もう一つは「攻撃者に関する脅威インテリジェンスを得るための対策を施す能力があるか(ハニーポットなど)」になります。
修正プログラムの迅速な適用の設問における過去の結果としては、「2.86」、「3.57」と2期連続全体のなかで最下位となっていました。今回は「4.80」と全体のなかの最下位は免れましたが、アジア太平洋のなかでは依然として最下位となっています。脆弱性を悪用する攻撃については依然として攻撃時の侵入起点や感染拡大の常套手段として用いられているため、自組織の脆弱性管理のプロセスについて今一度整理することを推奨します。
そして、脅威インテリジェンスを得るための対策能力の設問についても、過去2回に比べてポイントは上昇していますが、アジア太平洋平均に比べて低い結果となっています。脅威インテリジェンスとは、攻撃者の手法や不正なプログラムなどの情報を収集して、分析、解釈を行った成果物であり、特定の脅威へのリスクの評価や対策を検討する際に有用な情報になります。脅威インテリジェンスを得るためにはハニーポットの設置やOSINT(オープンソースインテリジェンス)、脅威コミュニティなどからの情報収集といった手段がありますが、どれも高度なセキュリティ人材を有している企業でない限り、自組織で脅威インテリジェンスを生成することは非常に困難なものです。そのため、自組織の能力に応じて、適切な脅威インテリジェンスを提供できるセキュリティベンダをパートナーとし、活用方法を相談することを推奨します。
ゼロトラストの推進に出遅れる日本(28の国と地域中27位)
続いて、CPIにおけるゼロトラスト関連の設問の結果を見ていきます。ここではゼロトラスト関連の設問のうち、「積極的なゼロトラスト推進プロジェクトの発足」と「SASE(Secure Access Service Edge)ソリューションの導入もしくは必要性の評価」に関する設問の結果を見ていくと、図10のとおり、「5.17(全体平均:5.64)」、「5.15(5.54)」とどちらも全体平均を下回っています。そして、前者のゼロトラスト推進プロジェクトの発足に関しては、28の国と地域中27位という結果となりました。(28位はベネルクス。)SASEはゼロトラストアーキテクチャの実現において主要な役割を担うセキュリティモデルであり、クラウド上で提供されるソリューションによってセキュリティとネットワークの両面において安全なアクセスを実現するための技術となります。
組織におけるゼロトラストアーキテクチャの実現においては、単一の技術だけではなく、エンドポイントセキュリティ、ネットワークセキュリティ、認証・認可などを実現する複数の技術の採用が必要になります。そのため、ゼロトラスト実現に向けては、自組織の守るべき資産の状況の把握と予算やIT戦略に合わせた適切なタイムラインを引くこと、そして役員の理解・合意が不可欠となります。
アメリカでは2022年1月に連邦政府から各省庁を対象としたゼロトラストセキュリティモデルへ移行する新たなサイバーセキュリティ戦略が発表されています。また、日本では2022年6月にデジタル庁によって、政府情報システムを対象により堅牢なシステムを構築するためにゼロトラストアーキテクチャ適用方針が示されました。各国政府がゼロトラストの実現へ向けた気運が高まるなか、日本における民間組織においてもその動向を注視し、高度な脅威への対策としてより強固なサイバーセキュリティ体制を構築していくことが求められます。
ITセキュリティ人材の雇用や育成に積極的な日本
もう一つ、CPIに関する設問を見ていきます。ここでは、「セキュリティに関する従業員への教育」、そして、「セキュリティ人材の雇用や保持」に関して組織がリソースを費やしているかといった設問になります。図11のとおり、「6.30(全体平均:5.38)」、「6.21(5.54)」とどちらも全体平均を上回っていることから、日本の組織はセキュリティ人材へのリソースの投資について積極的である傾向が見て取れます。
この結果は以前から話題にあがることが多い「セキュリティ人材の不足」が深刻化していることを要因として、日本の各組織が既存の従業員へのセキュリティレベルの底上げや、セキュリティ人材の流出阻止、そしてセキュリティ人材のリクルートに多くの投資を行っているということが考えられます。
アメリカのサイバーセキュリティに関する非営利団体(ISC)2が公開した2022年版のグローバルサイバーセキュリティ人材調査「(ISC)2 CYBERSECURITY WORKFORCE STUDY」によると、世界のサイバーセキュリティ人材数は増加傾向であるにも関わらず、それ以上にサイバーセキュリティ人材の需要が拡大していることから依然として需要と供給のバランスが取れておらず、人材の不足は深刻化していると述べられています。今後もあらゆるものやプロセスのデジタル化が進む限り、サイバー脅威は増加し続け、それに比例してサイバーセキュリティ人材の需要も増加することが予想されるため、引き続き各組織はセキュリティ教育や人材のリクルートに投資する必要があるといえるでしょう。
今後懸念される脅威の1位は「ボットネット」
続いて、懸念されるサイバー脅威に関する設問であるCTIの結果についてみていきます。まず、日本において今後12か月の間に懸念されるサイバー脅威のTOP5を見てみると、1位は「ボットネット(6.21)」という結果となりました。2022年はEmotetが新たな攻撃手法を取り入れながら、活動の停止と再開を繰り返していました。そして国内において、多数の被害事例が公表されたことから、大半の組織がボットネットに対して引き続き懸念を感じていることが伺えます。
3位には「DoS攻撃(6.02)」がランクインしています。これは、2022年9月に新ロシア派のハッカーグループ「Killnet」による日本政府関連サイトを含む国内の複数サイトへのDDoS攻撃により、一時的な閲覧障害が発生したことが要因の一つとして考えられます。
そして5位には「ランサムウェア(5.85)」がランクインしています。2022年下半期においても、国内では大阪の総合医療センターがランサムウェア攻撃の被害に遭い、診療業務の全面復旧まで約2か月を要すなど、深刻なランサムウェア被害が発生しました。組織における経営層は、ランサムウェアが事業存続にかかわるビジネスリスクであることを認識したうえで、有事の際のインシデントレスポンス体制を整備しておくことが重要になります。
また、日本の2位および全体の1位に「クリックジャッキング(日本:6.06、全体:5.88)」がランクインしています。クリックジャッキングとは、悪意のある不正なページの上に正規のページを透明に表示することでユーザを誘導し、誤ってクリックなどをさせることで意図しない処理を実行させる攻撃手法です。Webサイトを改ざんする攻撃の一つの手段として、多くの回答者が脅威として認識していることが推測されます。
最もセキュリティリスクを懸念しているポイントは「怠慢な内部関係者」
最後に、組織におけるITインフラのなかで懸念されるセキュリティリスクのポイントに関する設問を見ていきます。日本において最もセキュリティリスクを懸念しているポイントは「怠慢な内部関係者」でした。「怠慢な内部関係者」という選択肢に対して、回答者は以下のようなさまざまなセキュリティリスクを思い浮かべたことが考えられます。
●組織のセキュリティポリシーに反したソフトウェアの利用やデバイスの接続を行う従業員に起因するシャドーIT
●本来実施すべきテストや承認を省略するなど、業務プロセスを軽視した従業員によるシステムの設定不備
そして、昨年2022年6月に報道された尼崎市のインシデントでは、全市民46万人分の個人情報を含むUSBメモリが一時紛失しましたが、その原因が業務委託先の従業員の行為であったということが、今回の結果に反映していることも考えられます。
2番目に高い懸念とされた3rd Partyアプリケーションについては、近年複雑化するOSS(オープンソースソフトウェア)のセキュリティ問題などが関連している可能性があります。2023年1月には日米両政府において政府調達のソフトウェアについて同レベルの安全基準を作成する意向など、サイバーセキュリティの強化に関する覚書を締結したことから、今後もソフトウェアの安全性に関する規制などの動向について注視する必要があります。
モバイル/リモート従業員やクラウドインフラストラクチャについては、新型コロナウイルス(COVID-19)パンデミックにより急激に加速したリモートワークやクラウドシフトといった働く環境の変化に対して、セキュリティ対策が追い付いていないことが考えられます。
まとめ
今回は2022年下半期におけるサイバーリスクインデックス調査の結果と考えられる要因について分析を行いました。今回の結果からは、日本の組織を取り巻くサイバー脅威の懸念が拡大していることと、その脅威に対してセキュリティ体制への意識も向上していることがわかりました。一方で、技術的な面では、日本の組織は世界全体のなかではゼロトラストアーキテクチャへの移行に対する意識が低いことが見て取れました。経営者、セキュリティ担当者双方におけるゼロトラストの理解をはじめとして、組織全体のIT戦略の一つとして強固なセキュリティ体制を推進することが重要になります。また、あらゆる情報やプロセスがデジタル化され、アタックサーフェス(攻撃対象領域)におけるリスクが拡大するなかで、一般従業員に対しては、「情報を守ることも職務の一つである」という意識を持たせることが不可欠です。定期的なセキュリティトレーニングを行うなど、全従業員に対するセキュリティリスクのアウェアネス(自覚・意識)向上が、組織のセキュリティレベルの底上げになるといえます。
トレンドマイクロでは、組織のリスク状況を可視化するための「Cyber Risk Index(CRI)オンライン測定ツール」を公開していますので、自組織におけるリスク状況を算出していただき、今回の日本や世界全体における結果と比較することで、改善すべきポイントを整理いただくことを推奨します。
関連記事
Security GO新着記事
ソブリンクラウドとは?プライベートクラウドやガバメントクラウドとの違いを解説
(2024年11月5日)
VPN機器の脆弱性はなぜ管理しづらいのか~ネットワークエンジニアの立場から探る
(2024年11月1日)
暗号資産マイニングマルウェアとは?~事業停止にもつながるサイバー脅威~
(2024年10月31日)