CyberArkが「2023年版サイバーセキュリティに関する脅威意識調査」を公開：セキュリティニュースアラート

CyberArkは「2023年版サイバーセキュリティに関する脅威意識調査」を発表した。多くの回答者がアイデンティティーを狙ったサイバー攻撃やAIを使ったマルウェアを懸念している。

[田渕聖人，ITmedia]

　CyberArk Software（以下、CyberArk）は2023年10月4日、「2023年版サイバーセキュリティに関する脅威意識調査」の結果を発表した。

　同調査は日本やシンガポール、台湾、オーストラリア、米国、カナダ、英国、フランス、ドイツ、イタリア、オランダ、スペイン、ブラジル、メキシコ、インド、イスラエルの16カ国を対象で、従業員数500人以上の民間組織および公共機関に所属する、サイバーセキュリティに関わる意思決定者2300人を対象に実施された。

90％以上がAIを使ったマルウェアを懸念している

　調査によると、AI（人工知能）や不安定な国際情勢に伴う経済状況の悪化、従業員の離職率の上昇などによって、アイデンティティーセキュリティにおけるリスクが拡大していることが分かった。その他の調査結果は以下の通りだ。

• 回答者の99％が「経済的要因による人員削減や国際政治情勢の要因、ハイブリッドワークの広がりがID関連のサイバーセキュリティ侵害に影響を及ぼす」と予想している。回答者の58％（日本：54％）はこれらの侵害について「クラウド採用やレガシーアプリケーションの移行といったデジタルトランスフォーメーション（DX）の取り組みの一環で発生する」と回答した
• 68％の回答者（日本：62％）は、従業員の離職に起因するサイバー問題を予想しており、組織に不満を抱く退職者や適切に管理されていない認証情報などによる、内部脅威の懸念を示している
• 組織におけるSaaSアプリケーションの導入について、45％の回答者（日本：48％）が今後12カ月間で100以上のSaaS導入を予想している。人にひも付くIDと人にひも付かないIDの大部分がSaaS経由で機密データにアクセスしていることを踏まえると、SaaSアプリケーションが攻撃の入り口となる可能性が危惧される
• 回答者の93％（日本：97％）は、「AIによるサイバー脅威が組織に影響を及ぼす」と予想しており、最大の懸念事項としてはAIを活用したマルウェアが挙げられた
• 過去1年間でランサムウェア攻撃の標的となった企業は、回答者全体の89％（日本：89％）に上った。そのうち60％（日本：56％）は、ランサムウェア攻撃に対して身代金を2回以上支払ったことが判明した
• ソフトウェアサプライチェーン攻撃に関して、59％の回答者（日本：65％）が「自社の組織は阻止および検知ができていない」と指摘している。回答者の56％（日本：48％）は「自社の組織は過去12カ月間にソフトウェアサプライチェーン攻撃に対するセキュリティ強化を十分に実施していなかった」と回答した
• 回答者の63％（日本：47％）が「組織における最も機密性の高い従業員のIT環境へのアクセスが適切に保護されていない」と回答した。組織の機密データにアクセスするIDの種類として、人にひも付くIDの割合が38％（日本：34％）であることに対し、人にひも付かないIDの割合は45％（日本47％）だった
• サイバー攻撃における最大のリスク領域として、認証情報アクセス（35％）が挙げられており、次いで防衛回避（31％）や実行（28％）、初期アクセス（28％）、権限昇格（27％）が挙げられた。日本では、防衛回避（44％）が最大のリスク領域と見なされており、次いで影響（38％）や実行（35％）、初期アクセス（27％）が挙げられ、調査対象国全体と比較して認証情報アクセスを対象とする攻撃への意識が低いことが浮き彫りになった
• 回答者の42％（日本：36％）が、ERPや財務管理ソフトウェアなどのビジネスクリティカルなアプリケーションにおいて「IDの所有者が不明、もしくはIDが適切に管理されていない」と回答している。これらのアプリケーションを保護するためにアイデンティティーセキュリティ管理を実施している組織は、全体で46％（日本：45％）にとどまっている
• 調査対象国全体の37％が人にひも付くIDについて、ビジネスリスクをもたらす可能性が最も高いIDとして、パートナーやコンサルタント、サービスプロバイダーなどの第三者機関のIDを指摘している一方で、日本では最もリスクの高いIDとして、一般消費者のIDが最も多く（37％）挙げられていた
• ロボットによる業務自動化やbotの導入に関して、調査対象国全体の69％（日本：63％）が「セキュリティの懸念によって導入が遅れている」と回答した
• ゼロトラストを採用・実装する際に重要なソリューションとして、回答者の79％（日本：73％）がアイデンティティー管理を挙げた
• アイデンティティーセキュリティを強化するために今後優先的に取り組んでいくものとして、ジャストインタイムのアクセス（回答者の32％）やビジネスクリティカルなアプリケーションを保護する最小特権原則の採用（32％）、アクセスの自動プロビジョニングとプロビジョニング解除（31％）が挙げられた。日本における回答は、ジャストインタイムのアクセス（37％）やリアルタイムモニタリング・分析（34％）、認証資格情報の埋め込みの排除（34％）が上位に挙がった

　CyberArkのマット・コーエンCEO（最高経営責任者）は「サイバー攻撃の手法は絶えず巧妙化しており、攻撃者にとってサイバー防御を回避し、機密性の高いデータと資産にアクセスする最も効果的な手段がアイデンティティーだ。組織の重要資産を侵害から防ぎ、長期的なサイバーレジリエンスを構築する上で『誰を、そして何を信頼すべきか』が最も重要な課題となっている」と語った。