セキュリティの
学び場

今回の解説ニュース

セキュリティリスクに関する意識の調査結果がセキュリティベンダーから発表されています。

この調査は2018年から行われていて、はじめはアメリカを対象としていましたが、徐々に対象地域を拡大し2021年下半期には日本も対象に加わり、合計29の国と地域から3441組織のITセキュリティ関係者から回答を収集しているということです。調査項目は、全31問から成るサイバー予防指数と、全10問から成るサイバー脅威指数に分けられています。

サイバー予防指数は、主にサイバーセキュリティリスクに対する準備体制について、サイバー脅威指数は実際に直面している、もしくは懸念される脅威について数値化したものです。それぞれの回答で10ポイントから0ポイントが適用されて、サイバー予防指数の平均値からサイバー脅威指数の平均値を引くことでサイバーリスク指数が求められます。つまり、予防指数が高くて、脅威指数が低ければリスク指数の順位は高いことになります。

日本は総合的にセキュリティへの準備体制に関する意識は高いが

日本は2021年下半期のサイバーリスク指数ランキングで、全29の国と地域中9位でした。ちなみに1位は台湾、アメリカは23位でした。日本は準備体制に関する意識が高いと評価されています。

加えて日本のセキュリティ対策に関するリソースは、「ディザスタリカバリなどの災害時の対策」や「プライバシー要件など規制・規定への対応」に多く割かれている傾向があります。これは、自然災害の被害が多かったり、個人情報を重要視する特徴が表れているのかもしれません。

ただ、日本は「組織のセキュリティ予算の十分さ」について、他のエリアと比較してそれほど多くないと感じている回答者が多いようですし、「CEOや取締役会のセキュリティへの関与の積極性」についてもそれほど高くないと感じている回答者が多い結果となっています。

また「脅威や脆弱性・攻撃を特定するための評価や監査の実施」でしたり「機械学習など、最先端のセキュリティ技術への投資」は他のエリアより低い結果でした。これは、セキュリティ対策でも新規性より安定性が重んじられている傾向が日本では感じられますので、昨今のサイバー攻撃への備えや適切な分野への投資に対する検討が必要な状況かもしれません。

日本の組織は実環境へのセキュリティの方に意識が向いている？

日本の組織が最も懸念するサイバー脅威として「フィッシング詐欺とソーシャルエンジニアリング」が挙げられています。あと「ランサムウェア」などへの懸念はヨーロッパやアメリカより低い結果となりました。これは、海外でランサムウェアによる大規模な被害や高額な身代金の支払いが実際に発生していますので、今後は日本でも注意する必要があるかもしれません。

また「設備の盗難や損傷」が他のエリアと比較して突出して高く、「重要インフラの停止や損傷」も他のエリアより高い結果になっています。これは、日本ではまだクラウドよりオンプレの環境の方に信頼性を高く見積もる業界がありますので、物理的な実害を懸念する組織がいるのではないかと推測されます。逆に、クラウドへの移行が進む中では、オンプレとは異なるセキュリティ対策に、今後は随時対応していく必要がありますね。