やはり“セキュリティ＝資金力”なのか？ 189カ国630万の組織を調査した結果は：Cybersecurity Dive

SecurityScorecardは同社の調査で「国の経済的繁栄は防衛力の強化に直結しており、サイバーセキュリティには貧富の差が生じている」という見立てを公開した。果たして本当か。

[Matt Kapko，Cybersecurity Dive]

　2024年1月15日（現地時間）に開催された世界経済フォーラムの年次総会で発表した報告書の中で（注1）、サイバーセキュリティ事業を営むSecurityScorecardは「裕福な地域の組織は貧しい地域の組織に比べてサイバーセキュリティの防御力が高く、サイバーリスクは低い。サイバーセキュリティには貧富の差が生じている」と述べた。

　SecurityScorecardは国内総生産（GDP）とサイバーリスクの相関関係を調査し、「国家の経済的繁栄は、サイバー脅威の複雑な状況を乗り切る能力と深く関わっている」と結論付けた。

630万の組織を調査　GDPとサイバーハイジーンスコアの関係

　研究によると、サイバーセキュリティへの投資が少ない地域の組織は、データ侵害を経験する可能性が高いことが分かった。SecurityScorecardが定めるサイバーハイジーンのスコアが「C」の地域は、「B」の地域よりもデータ侵害を経験する可能性が2倍近く高く、これは世界の大半の国で見られる傾向だという。

　SecurityScorecardの脅威ハンターは、189カ国にわたる630万の組織のサイバー能力を分析し、その結果を、2022年に国際通貨基金（IMF）が公表した1人当たりGDPの経済データと結び付けた。

　SecurityScorecardで脅威リサーチ・インテリジェンスを担当するライアン・シャーストビトフ氏（シニアバイスプレジデント）は「GDPが高い地域の組織は、GDPが低い地域の組織よりも技術に多く投資できるため、より近代的なテクノロジーと一貫したサイバーハイジーンを利用できる」と話した。

　同社のデータ駆動型のサイバーセキュリティスコアリングシステムは、ネットワークセキュリティやエンドポイントセキュリティ、パッチの適用頻度など、250種類以上の信号を監視し、評価を確立する。サイバーリスクは、脅威情報とデータ侵害の報告に基づいている。

　SecurityScorecardは北欧や西欧、中欧、オーストラリア、ニュージーランド、北米、中東の組織に対して、「B」という低いサイバーハイジーンスコアを割り当てた。また、サイバーハイジーンスコアが83％を超える地域はなかった。

　その他の地域は、数値に一定の幅はあれど全て「C」に該当するサイバーハイジーンスコアだった。ほとんどの地域のスコアは1人当たりGDPと相関していたが、幾つかの地域には異常値が見られた。

　オーストラリアとニュージーランドは1人当たりGDPから予想されるものよりも高いスコアを獲得し、中央アジアとコーカサス地域はSecurityScorecardが予想するよりも低いスコアだった。

IT企業が狙われる理由

　SecurityScorecardが調査した11万件以上のセキュリティインシデントにおいて、情報サービスおよびテクノロジー分野の組織がデータ漏えいの影響を最も受けたことも判明した。この2つの業界が受けたインシデントは、SecurityScorecardのデータベースに登録されているセキュリティインシデント全体の約3分の1を占めている。

　シャーストビトフ氏によると、攻撃者はIT企業を他の企業環境へのゲートウェイとして使っている。それはIT企業が他の企業に対して、ホスティングやその他のサービスを提供しているためだ。

　シャーストビトフ氏は「最近のサイバー攻撃は、わずかなほころびから世界的な侵害が引き起こされることを示している。社内のネットワークやテクノロジーにとどまらず、ベンダーや二次ベンダー、顧客、パートナーまでもが標的企業に関連する攻撃対象となっている。サプライチェーンのリスクを適切に管理しないために、組織は重大なサイバーリスクにさらされている」と指摘した。

（注1）Cyber Conflict and the Erosion of Trust Introducing the Cyber Resilience Scorecard（Security Scorecard）

原文へのリンク