あなたの企業は平均越え？ 国内企業のセキュリティ成熟度調査が公開

トレンドマイクロは国内企業のセキュリティ成熟度調査を発表した。NISTの「サイバーセキュリティフレームワーク」が示す「識別」「防御」「検知」「対応」「復旧」という5つの機能などに沿って成熟度を明らかにした。

[後藤大地，有限会社オングス]

　トレンドマイクロは2022年12月7日、同社のブログで「法人組織のセキュリティ成熟度調査」の結果を公開した。

　同調査は2022年9月に、従業員規模1000人以上の国内企業に所属する情報セキュリティに中心的および主体的に関わる立場の担当者合計253人を対象に実施した。

　同調査は、NISTが発行する「サイバーセキュリティフレームワーク」（CSF：Cyber Security Framework）が示す「識別」「防御」「検知」「対応」「復旧」という5つの機能、23のカテゴリー、108のサブカテゴリー（セキュリティ管理策）を参考に質問項目を設計した。

トレンドマイクロは法人組織のセキュリティ成熟度調査を発表した（出典：トレンドマイクロのブログ）

約6割がセキュリティインシデントを経験　調査の詳細は

　今回の調査によれば、回答者の62.1％（157人）がセキュリティインシデント被害を経験していることが判明した。年間平均被害額は約3億2850万円であり、全回答者（253人）の4分の1以上（25.3％、64人）に、1億円以上の被害が発生していた。

2021年度1年間で発生したセキュリティインシデントに起因した被害額（出典：トレンドマイクロのブログ）

　トレンドマイクロは、これについて「調査対象者が従業員規模1000人以上の法人組織であるため、セキュリティインシデントが発生した際の被害額が大きくなった可能性がある」と指摘する。

　同社は「ビジネスサプライチェーンの増加によって1つのセキュリティインシデントが関連する他の企業にも影響を及ぼし、被害総額が膨れ上がることが懸念される。関係企業など含めたサプライチェーン全体でセキュリティ施策を見直すことが重要だ」とコメントしている。

　CSFを基にしたセキュリティ成熟度については、それぞれの機能に大きな偏りは見られなかったが、相対的に「対応」が最も高く、「復旧」が最も低いという結果になった。トレンドマイクロは今後強化する対象として「防御」が高く「復旧」が低かったことも指摘している。

セキュリティ成熟度の機能毎の平均点（出典：トレンドマイクロのブログ）

　トレンドマイクロはこれについて「国内の多くの企業で攻撃対象領域（アタックサーフェス）が急増しており、サイバー攻撃に事前に対処する予防措置といったセキュリティ管理策が急務の課題になっている。その結果として『復旧』といった事後対処の強化に十分なリソースを回せない実情がある」と分析した。

　サイバー攻撃そのものを防御することは重要だが、攻撃を受けて被害が発生したことを想定し、復旧に関しても考慮に入れることが重要だ。1週間で復旧するのと、1日で復旧するのとでは被害総額に大きな差が生じる。

　また、セキュリティ対策の見直しの際に参考とするガイドラインについて聞いたところ、52.6％の回答者（133人）が「ISMS（ISO/IEC 27001、27002）」を選択していることも明らかになった。これは国際的に利用されている規格で国内においても多くの組織が参考にしている。また、回答者の40.3％（102人）が「NIST Cyber Security Framework（CSF）」を、32.4％（82人）が「NIST SP 800-171」を選択していることが分かった。

　これらのガイドラインには「検知」「対応」「復旧」といった事後対策が整備されている。トレンドマイクロは、今後サイバー攻撃被害からビジネスを迅速に復旧させるレジリエンス強化が求められることから、国内企業の間でガイドラインに準拠したセキュリティ対策が進むと予測した。