米セキュリティリーダー250人調査で分かった、セキュリティ戦略と投資のトレンド

調査機関Sapio Researchとトレンドマイクロは、米国のITセキュリティの意思決定層250人を対象にアンケートを実施し、抱えているリスクや採用している戦略、また将来に向けた計画に関して質問をしました。これらの回答は、組織のサイバーセキュリティリーダーへ有益な知見や示唆を提供しています。
調査概要
・期間：2023年3月~4月
・対象：ITセキュリティの意思決定関与者250人
・立場：セキュリティにおける意思決定の責任者73%、意思決定の関与者27%
・規模：従業員数5,000人以上16％、1,000～4,999人36%、500人～999人36％、250～499人12％
・性別：男性61％、女性39％

忍び寄るアタックサーフェス拡大の脅威

約6割がランサムウェア攻撃を過去1年に経験

アメリカにおいても多くの企業がサイバー攻撃の脅威にさらされていることがわかりました。全体で約5割が、ランサムウェア、またゼロデイ脆弱性攻撃を受けた回答しました。従業員数別でみると、攻撃を受けたという回答率は5,000人以上が最も少なく、最も多いのは1,000～4999人で、従業員数999人以下の層を上回る結果となりました。

ランサムウェアを抑え「暗号資産マイニング」がリスク要因の上位に

セキュリティの懸念事項には、以前から指摘されているヒューマンエラー（64%）やスキルギャップ（54%）が上位にあがりました（図2）。着目したいのは、複雑さ (46%)、可視性 (42%)、アラートの過負荷 (41%)という課題です。いずれも、アタックサーフェス（攻撃対象領域）の拡大に関連し、発生しているセキュリティ体制や運用の課題です。

セキュリティリスクの要因として、フィッシングやビジネスメール詐欺（BEC）に回答が集まりました（図3）。これは、サイバー犯罪による損失額においてBECが常に上位に入る、アメリカのサイバー犯罪事情を反映したものといえそうです（2022年は2位）^※。
続く2位は脆弱性、そして3位にはランサムウェアを抑え、暗号資産マイニングが入りました。暗号資産マイニングでは、クラウド環境が狙われるケースが増加しています。クラウド環境に目を付けたサイバー犯罪者が、クラウドインスタンスのリソースを暗号資産のマイニングに悪用しているのです。この攻撃では、機密情報の漏えいや暗号化といった損害はありませんが、クラウドが企業に浸透し、特に大規模な環境では多数のクラウドが利用されていることを考えると、攻撃による不正利用が発見されないまま放置されれば、リソース消費量や費用が膨大になる恐れもあります。暗号資産マイニングのような新たな脅威は、まさに攻撃対象領域の拡大を示す一例であり、日本企業も備えが必要です。

※米国連邦捜査局（FBI）のInternet Crime Complaint Center（IC3）「Internet Crime Report 2022」
※暗号資産（仮想通貨）を目的としたサイバー犯罪を阻止するにはー攻撃種類から考える組織に必要なセキュリティー

セキュリティの標準になりつつあるゼロトラストとXDR

ゼロトラスト「導入済」「計画中」は9割

今回のアンケート調査を通して明確となった点は、将来を見越したセキュリティ戦略を採用するセキュリティリーダーが顕著な成果を実感しているという点です。すでに36%はゼロトラストを導入済で、また59%はゼロトラストの導入を検討していると答えました（図4）。米国国家安全保障戦略におけるゼロトラストの推奨も、ゼロトラストの浸透を後押する材料になったと言えそうです^※。さらに、実施済の36%のうち、96%はセキュリティ体制の向上を実感し、そのうち62%は大きな改善を認識していると回答しました（図5）。
※NATIONAL CYBERSECURITY STRATEGY

クラウド環境の保護で最も重視するのはネットワーク
クラウド環境を保護する際の優先順位については、ネットワーク (62%) とファイルストレージ (60%) が最大の懸念事項であり、次にワークロード (45%) とアプリ (40%) となりました。

また、回答者の85%は、自らの企業や組織がDevOps/DevSecOpsを導入していると答えています。DevOps/DevSecOpsを導入済と回答したうちの94%は、これによりセキュリティが向上したことを実感したとも答えています。一方で、回答者の73%は、安全でないアプリの開発を懸念しており、この点を解消して得られる安心感を重視していました。なお、DevOps/DevSecOpsをまだ導入していないと答えた回答者のうちの70%は、今後の導入を計画していると述べています。

図6　クラウド環境におけるセキュリティの優先度（複数回答、小数点以下は四捨五入）

XDR導入済は4割、8割以上がセキュリティ改善を実感
XDR （Extended Detection and Response）の利用状況は42%で、EDR（Endpoint Detection and Response、54%）がいまだ全体の半数を占めてるものの、XDRが確実に浸透してきていることが分かりました。XDR導入済の回答者は、メリットを感じています。XDRを導入した回答者の85%はセキュリティが向上したと感じ、うち41%は大幅に改善されたと感じています（図7）。

9割がセキュリティプラットフォームへの移行や製品統合を計画

多くの回答者は「増加するセキュリティ製品」に悩んでいます。回答者の中で1つの製品のみを使用しているという回答は2%に過ぎず、半数以上は5つ以上のセキュリティ製品を利用していることがわかりました（図10）。さらに、5つ以上利用していると答えたうち、12以上と利用している回答者も5%いました。しかし、近い将来、この傾向は変わるかもしれません。複数の製品を使用している回答者の89%は、製品を統合したり、プラットフォームへと移行する計画があると答えています（図11）。

今回の調査から、攻撃対象領域が拡大していること、こうした状況に対応していくために、ゼロトラストを採用し、XDRの利用やプラットフォームへの移行といったセキュリティの統合管理への投資が進んでいる状況が明らかになりました。セキュリティ戦略や投資の方針は、企業により異なります。今回の調査は、現在のアメリカにおける動向としてご覧いただき、皆様の今後のセキュリティを検討する際に参考情報として活用いただければ幸いです。