CIO Loungeとの共同調査から見えたサイバー攻撃被害に遭いやすい組織の特徴とは？～「セキュリティ成熟度」と「インシデント被害」の関係性から対策の有効性に着目する～

共同調査の背景

2023年6月、トレンドマイクロ株式会社は特定非営利法人CIO Loungeの監修のもと、国内の法人組織（従業員500名以上）に勤めるセキュリティやリスクマネジメントの責任者（部長職以上）305人を対象として「セキュリティ成熟度と被害の実態調査 2023」を実施しました。

サイバー攻撃によるインシデント被害が国内組織から公表された数は2023年1月～9月までで合計291件で（トレンドマイクロが公表内容を基に独自に集計）、少なくとも1日に1件以上、セキュリティインシデントが公表されています。またサイバー攻撃者の攻撃手口はますます巧妙化し、かつ企業のIT環境も刻々と変化する中、組織のセキュリティ責任者は組織が取るべきセキュリティ対策や方針を状況に応じて対応・決定する必要に迫られています。組織のセキュリティ責任者にとって「自社のセキュリティ対策の水準が実害を防げるレベルにあるのか」への懸念はより強まっていると推測します。

今回の調査では、セキュリティ対策の水準（セキュリティ成熟度）と実際の被害の大きさの関係性を明らかにする為、まず過去3年以内にサイバー攻撃被害を受けたことのある組織に調査対象者を絞りました。
被害に遭った組織における被害の大小と、被害発生時のセキュリティ成熟度およびその他の組織的特徴を合わせて調査することで、被害に遭いやすい組織がどういった組織で、またどういった対策を行っているか、に関する統計的傾向を分析しました。
本記事では統計的傾向から見られた被害の大きい組織の特徴を紹介します。より詳細な結果に関してはレポート（セキュリティ成熟度と被害の実態 2023）にまとめておりますのでそちらをご参考ください。

なおセキュリティ成熟度の測定に関しては、NISTのCyber Security Framework（以下、CSF）で定義されている5つの機能（識別、防御、検知、対応、復旧）それぞれについて、組織的な取り組みが実施されているかを段階的に測定し、数値化しました。

参考記事：
新たに「ガバナンス」が追加されたNIST Cybersecurity Framework 2.0の変更点を解説

2人に1人が業務停止被害を経験、また4人に1人が1000万以上の金銭的コストが発生と回答

サイバー攻撃の被害度といっても、その影響を測ること自体簡単なことではありません。また組織によってどこまでを被害と認識しているかも基準が異なる可能性があります。そこで今回は「業務停止期間」と「金銭的コスト」の2つの軸でサイバー攻撃の被害度を測ることとしました。さらに、「金銭的コスト」については、直接・復旧・再発防止コストの3つに分類し回答を集めることで可能な限り、測定基準をそろえるよう工夫しました^※。
※ サイバー攻撃被害によりもたらされるコストの内、ランサムウェアの身代金支払いや業務停止期間の売り上げなど、攻撃そのものによって直接的にもたらされる、主には金銭的なコストを”直接コスト”、攻撃を受けてからの調査・封じ込めなどの対応、システム復旧などに必要な、主には人的コストを”復旧コスト”、被害を受けた後の今後の再発防止や被害低減に向けた様々な施策・活動・投資などの中長期的コストを”再発防止コスト”として設定）

「業務停止期間」、「金銭的コスト」それぞれの集計結果は下記の通りです。

図2：「業務停止期間」「金銭的コスト」それぞれの被害内訳
（業務停止期間は、わからない40を除くN=265,金銭的コストは直接・復旧・再発防止の合計から見当がつかない237を除くN=678）

「業務停止期間」については「わからない」と答えた人を除き約半数の組織で業務停止が発生していました。また業務停止が発生した場合でもほとんどは3日以内に復旧を完了しています。3日以上の大きな被害の割合は全体の20分の1であり、サイバー攻撃被害に遭った場合でも長期の業務停止に陥る可能性は限定的であることがわかります。ただし、人命に関わる、人々の生活に直結するなど、停止する業務の内容によっては数時間程度でも大きなビジネスリスクとなる場合がある為、自社の重要ビジネスへの影響が生じるシナリオを検討し準備を行っておくことが重要です。

「金銭的コスト」については「見当がつかない」と答えた人を除き約6割の組織で被害コストが発生しています。また4人に1人は1,000万以上のコストが発生したと回答していることから、大きな被害に繋がる可能性を含んでいることがわかります。

セキュリティ成熟度に関する調査の全体平均結果は下記の通りです。

図3：NIST CSF機能ごとのセキュリティ成熟度の平均値(わからない1を除くN=304)

セキュリティ成熟度は全ての機能において平均値3（「会社が定める正式手順に沿って、包括的に取り組みが行われている」）を超えており、今回の調査対象者に関しては組織的な取り組みが多く実践されていることが明らかとなっています。また中でも識別、防御の平均値が高い傾向にあります。「識別」「防御」の段階で、守るべき資産の特定や事前の対策整備ができていなければ、後に続く「検知」「対応」等も機能しません。そのため、各組織においてまずは「識別」「防御」の対策が優先的に実施されていると考えられます。

被害の大きい組織の特徴

上記の被害の2つの軸と「セキュリティ成熟度」を含む調査回答組織の特徴の相関関係を分析することで、どのような組織が大きな被害を受けているかの分析を行いました。まずNIST CSF各機能を合計して平均した「セキュリティ成熟度」の値と「業務停止期間」に統計的な傾向が見られました。

図4に示す通り、「業務停止期間」が長引くほど「セキュリティ成熟度」の平均値が減少していく逆相関の関係性が見て取れます。このことから全体の「セキュリティ成熟度」が低い組織において、被害が拡大しやすい傾向にあることが確認できます。これは当然の結果ではあるものの、様々な対策を行っていても、その有効性を検証することが難しいサイバーセキュリティにおいては重要な結果です（単に被害に気付けていない可能性もあるため、何も起きていないということが必ずしも安全であるということと同義ではないからです）。

今回「セキュリティ成熟度」測定の為にNIST CSFを参考とし、組織包括的な対策の推進状況を計測しました。上図はこうしたフレームワークに沿って組織のセキュリティ水準を向上させることが、被害低減に向けた確かな指標となり得るということを示しています。
業務停止被害を低減するという目的では、「停止していない」の回答者の平均値にあたる3.21をベンチマークとして自社の「セキュリティ成熟度」を向上させていくことが推奨されます。

さらなる分析として、NIST CSFに規定される5つの機能の内、どれが被害低減に最も影響している可能性が高いかを確認する為、5つの機能別で業務停止期間に応じた平均値を計算しました。

機能別で見た際には、「識別」「防御」「検知」「対応」「復旧」の全ての機能において「業務停止期間」と「セキュリティ成熟度」が逆相関の関係を持つことがわかりました。これは、どの機能の「セキュリティ成熟度」においても、業務停止被害軽減に一定の効果を持つことを示しています。さらに、中でも赤字でハイライトした「識別」「対応」における「停止していない」と「3日以上(停止)」の「セキュリティ成熟度」平均値が1ポイント以上差をつけていることから、「識別」「対応」の「セキュリティ成熟度」向上による被害低減の効果が大きいことが伺えます。

調査では、「セキュリティ成熟度」以外にも被害を受けた組織の「従業員規模」を質問しており、「従業員規模」も被害の大小に伴う統計的傾向が確認されました。

調査の結果として1万人以上の組織における平均被害額が大きいことがわかりました。また同時に10,000人以上の組織では「従業員規模」が大きくなるにつれて、「金銭的コスト」も大きくなる傾向が確認されました。従業員規模の大きな組織は守るべきデジタル資産やビジネスの規模が大きいため、ビジネスが停止した場合や組織に侵入された場合の被害が拡大しやすい傾向にあると推測しています。

「セキュリティ成熟度」はどのように向上すればよいか

前章にてCSFに規定されるどの機能に関しても「セキュリティ成熟度」の向上が、被害低減に有効であるということがわかりました。しかし、「セキュリティ成熟度」はどうすれば向上できるでしょうか。その疑問の答えを導くために、「セキュリティ成熟度」の値に相関する組織の特徴を分析しました。
その1つが「経営層の関わり」です。

グラフに示される通り、「経営層の関わり」の大きい組織ほど「セキュリティ成熟度」も高いという傾向が見られました^※。今回の調査は25のセキュリティ対策事項に対し、いかに組織的かつ継続的に取り組んでいるかによって「セキュリティ成熟度」が評価されます。そのため、部門横断的かつ長期的な取り組みを実現しやすい「経営層の指示や主導」といった「ガバナンス」の要素がスコアに大きく影響したと考えられます。
この結果は「セキュリティ成熟度」の向上に、「経営会議でのセキュリティに関する議論」や「予算配分まで含めた経営層の指示」が重要な役割を担っていることを示しています。
※ 経営層の関わりの大きさは、「セキュリティ業務に関する報告」、「セキュリティ対策へのリーダーシップの主導」、「経営会議でのセキュリティリスクの取扱い」、「セキュリティに関する予算等分配指示」の4つの実施状況に関して尋ねる設問を用意し、それぞれ0:「全く実施されていない」、1:「必要に応じて実施されている」、2:「定期的に実施されている」の3段階でスコアを測定。さらにそれら4つの実施状況スコアの平均値を取得し、小＝0～1.49(119サンプル)、中＝1.5～1.99(53サンプル)、大＝2(131サンプル)で分類を行った。）

また、合わせて調査では「セキュリティ成熟度」を向上させようと試みていても実現できない場合を鑑み、その原因を探るべく「セキュリティ成熟度」向上の阻害要因をNIST CSF5機能それぞれで質問しました。

図8：セキュリティ対策を行う上での機能別阻害要因回答数上位3つのみ表示 (N=305,複数回答)

本設問では、セキュリティ成熟度向上に向けた阻害要因として
・人材の数の不足
・スキルセットを持つ人材の不足
・周囲の協力の不足
・攻撃対象領域（クラウド利用、リモートワークによる従業環境の変化）の増加や変化
・自組織のサービスや事業の増加や変化
・脅威の高度化
・予算の不足
などの選択肢をNIST CSF5機能それぞれで設定し調査を行いました。

調査実施前の予想では、「予算の不足」や「周囲の協力不足」などの選択肢に票が集まると見ていました。しかし、最も選択率の高かった課題は「スキルセットを持つ人材の不足」でした。同時に「人材の数の不足」への回答も集まったことから、セキュリティ対策上の最も大きな課題は「人材」であり、その量も質も不足しているということがわかります。現在の人口変動予測を踏まえた場合に、今後セキュリティ人材が現在よりも拡充していく可能性は少ないことから、セキュリティ業界においてより効率的な運用や外注、もしくは最適な人材選定のニーズが高まっていくことが予想されます。XDRなどの自動化されたセキュリティソリューションを用いて、セキュリティオペレーションにかかる人的コストを効率化していくことも有効です。

まとめ

今回の調査では、国内組織の「セキュリティ成熟度」をはじめとする様々な特徴と共に、サイバー攻撃被害の実態を組み合わせて調査することで、サイバー被害に遭いやすい組織の特徴を特定しました。これにより、「セキュリティ成熟度」を向上することによってサイバー攻撃被害低減につながることが明らかになりました。また、同時に「セキュリティ成熟度」向上にあたっては、「経営層の関わり」を強めることやスキルある人材の確保が必要であることも明らかになりました。
今回の「セキュリティ成熟度」に関する調査では、様々なセキュリティ対策全般を網羅しつつ、特定の業種に限らずアンケートを収集できるように、NIST CSFを採用しました。ただし、「セキュリティ成熟度」を測るために最適なフレームワークは、業界や業務内容に応じて異なる可能性があることに注意してください。またNIST CSFも2024年にバージョン改定が予定されていることからも、「セキュリティ成熟度」測定の指標も時代と共に変化する可能性があります。
重要なことは自社のセキュリティ対策が組織的に実施されていること、また継続的に改善が施されていることです。定期的な確認を通して、改善のための課題や阻害要因を特定することがサイバー攻撃被害低減に向けた第一歩となります。

レポートでは、他にもより発生しやすい攻撃の種類やその手口、従業員規模別の「セキュリティ成熟度」などの情報も掲載しています。より詳細な情報をご覧になりたい方は、こちらからレポート（セキュリティ成熟度と被害の実態 2023）をダウンロードください。