「日本企業はデータ保護意識が低すぎる」 サイバーレジリエンス向上のために見直すべき4つのこと：リサーチで見る、サイバーレジリエンス実現の勘所

ランサムウェアが活発化する昨今、被害後の回復や復旧を迅速に実現するサイバーレジリエンスに注目が集まっています。しかし、実現にはハードルもあるようです。本稿では、グローバル調査から日本企業が抱えている問題点を洗い出します。

[キャンディッド・ヴュースト，Acronis]

　サイバー攻撃の件数は年々増加しており、その手口も巧妙かつ複雑化しています。2022年10月末には、大阪急性期総合医療センターがランサムウェアによるサイバー攻撃を受け、完全復旧に約2カ月の時間を要しました。サイバー攻撃は「自社にも起こる」ことであり、リスク管理の一環として“備え”が重要になっています。

　本稿は前後編で現状の問題や昨今のサイバー脅威を検証し、サイバープロテクションおよびサイバーレジリエンスの概要と、攻撃を受けても迅速に対応し事業の継続性を保ちながら安定した状態に戻すためのポイントを解説します。前編では、Acronisが2022年3月に実施した調査データを交え、市場動向や日本の企業特有の問題を見ていきます。

この連載について

　ランサムウェアが活発化する今、被害後の回復や復旧を迅速に実現するサイバーレジリエンスを高めることが企業に求められています。本連載では企業の取り組みのヒントになる情報を解説します。

筆者紹介：キャンディッド・ヴュースト（Candid Wuest）Acronis　リサーチ担当バイスプレジデント

IBM、シマンテックなどで20年近くにわたってサイバーセキュリティの脅威分析などに携わる。2020年3月から、スイスとシンガポールに本社を持つサイバーセキュリティ企業であるアクロニスのサイバープロテクション研究所担当バイスプレジデントを務めている。2022年3月からは、アクロニス リサーチ担当バイスプレジデントとして日々情報収集にあたっている。

拡大するランサムウェア被害　復旧には1000万円以上かかることも

　警察庁が2023年3月に公開した「令和4年におけるサイバー空間をめぐる脅威の情勢等について」によると、都道府県警察から報告があった国内企業におけるランサムウェアの被害件数は2022年が230件で、これは2020年下期以降の増加傾向です。

　230件の内訳は、大企業が63件、中小企業が121件となっています。感染経路はVPN機器からの侵入が半分以上で、リモートデスクトップからの侵入と合わせると回答の81％がテレワークで利用されるテクノロジーやツールの脆弱（ぜいじゃく）性、認証情報を悪用しています。

　復旧に要した期間について「1カ月以上」と答えた企業の回答者は49％を占め、ランサムウェア被害関連で要した調査や復旧コストの総額についても「1000万円以上の費用を要した」とした企業が46％にもなりました。

　このようにランサムウェア被害が拡大している今こそ、重要になっているのが「サイバープロテクション」と「サイバーレジリエンス」です。

　サイバープロテクションはサイバーセキュリティとデータ保護を統合する考え方です。サイバーセキュリティの狙いは、サイバー攻撃のリスクを下げ、サービスやデバイスを保護することです。データ保護に関しては、バックアップを頻繁に取ることで顧客データの安全性と復元性を確保します。この二つを組み合わせたサイバープロテクションこそがサイバー攻撃に対する最大の防御になるとAcronisは考えます。

　サイバーレジリエンスは回復力や対応力を指します。つまり、これを実現するにはサイバー攻撃に限らずあらゆる変化や修正に耐えうる柔軟性と堅牢（けんろう）性を備え、迅速かつ安定した状態を確保できるITインフラが必要です。ここで言う変化や修正とは、ネットワークに新しいエンドポイントおよびワークロードが追加されるケースや、ハードウェアの故障、企業の合併買収などさまざまな場面が想定されます。

　サイバーレジリエンスにはハードウェアだけではなく人的なソフトスキルも必要です。社内における日々の取り組みが企業の危機管理対応力を高め、サイバーレジリエンスを強固なものにします。

データの操作や不正アクセスの有無が特定できない企業が約半数

　企業はこうしたサイバープロテクションを実行できているのでしょうか。

　Acronisが2022年3月に実施した調査「Acronis Cyber Protection Week Global Report 2022」では、その実践内容に幾つかの重大な欠点があると明らかになりました。同調査は日本を含む22カ国で、ITユーザーおよび中小企業、大企業のITマネジャー6200人以上を対象に実施しました。

　同調査によると、世界的にバックアップを取得する頻度に関して明確な改善はみられず、ローカルとクラウドのハイブリッド環境でバックアップを取っている企業は約15％となった。これは2019年の27％からさらに落ち込んでいます。

　また、世界の企業の78％が約10種類のセキュリティソリューションを運用している一方、76％の企業がデータ損失によるダウンタイムを経験しています。つまり「ソリューションが多ければデータ保護の強化につながる」わけではないと明らかになっています。現在はセキュリティツールとデータ保護ツールといった複雑なスタックを、統合された単一のコンソールに置き換える統合型ソリューションを希望するITチームが増えています。

　日本では調査対象の56％の企業が、運用するセキュリティソリューションが1〜5個と回答しました。この数が諸外国に比べて少ないということは、総合型のセキュリティソリューションに移行しやすいと言えます。

　一方、これは国内企業におけるデータ保護への関心度の低さの表れでもあります。実際に、「自社のデータの予期しないアクセスや変更を特定する手段がある」と答えた国内企業は47％になりました。これは世界的な平均である81％を大きく下回る数字です。

図1　予期せぬアクセスなどを特定する手段はあるか（出典：Acronis提供資料）

　「自社がデータプライバシーに関する法律の対象となっているのかどうか分からない」と答えた国内企業も2割を超えており、意識の低さが現れています。日本ではデジタル化に伴い個人情報保護法が2022年4月に改正され、個人情報漏えい時には報告義務が発生します。法令違反のペナルティーも強化されています。法律で求められている規定を知らずにデータを保護するシステムの構築は困難です。

　日本はセキュリティ投資額の低さも目立ちます。世界平均で約23％の企業がIT予算の16％以上をITセキュリティ予算に割り当てている一方、日本では同様の回答した企業は全体の6％にとどまりました。IT予算のセキュリティの割合が1〜3％という日本企業は14％（世界平均：6％）に上ります。

　データの保管先がクラウドや従業員の個人PCなど複雑化している昨今、どこに自社のデータがあるのかを把握することは容易ではありません。こうした状況も、サイバーセキュリティ対策の強化に関して日本企業の腰を重くしている可能性があります。

　また、ウクライナ問題や中国情勢、北朝鮮情勢といったさまざまな地政学状況に起因するサイバー攻撃を懸念する企業も多いようです。日本企業の回答のうち「とても心配している」「ある程度心配している」の合計は84％で、世界での数値とほぼ同等です（86％）。

まずは見直そう　あなたの企業は基本的な対策4つを講じられているか？

　Acronisは、日本の企業にとって特に脅威なのは「データ侵害」と「フィッシングメール」だと考えています。約2年前からランサムウェア攻撃の目的は「データの暗号化」から「データの盗難」に重点が変わっています。現在も両方の手口が使われていますが、多くの企業がバックアップを充実させてきたため、暗号化のみではハッカーにとってメリットが少なくなっています。企業は「知らないうちにデータの盗難や改ざんが起こるリスクがある」と理解しなければなりません。

　日本企業がすぐに実行できる対策は以下の通りです。シンプルですがまずはこの4つを見直しましょう。

• バックアップを頻繁に実施しているか
• ソフトウェアのパッチを必ず適用しているか
• 強力なパスワードを使用しているか
• セキュリティツールを使っているか

　前述した警視庁の報告でも、「バックアップは取っていたがバックアップから被害直前の水準まで復元できなかった」という回答が8割を占めています。デジタル庁の発足も背景に、日本企業のサイバーセキュリティやデータ保護、サイバーレジリエンスへの意識は高まっています。脅威についての自覚はもちろん、自分たちを守るという強い意志が必要です。

　後編では当社が予測する2023年のサイバー脅威対策やサイバーレジリエンスに必要なソフトスキルとはどんなものか、そしてビジネスを安定させるための「人、プロセス、製品」の枠組みについて解説します。