中堅企業はなぜセキュリティに関心がないのか？ 調査で分かった“ある勘違い”：CFO Dive

近年、サイバー攻撃の標的は大企業から中堅・中小企業にシフトしている。しかし中堅企業の中には、セキュリティに無頓着なところもあるようだ。その背景にある“勘違い”とは。

[Maura Webber Sadovi，CFO Dive]

　コンサルティング会社RSM USの中堅市場ビジネス指数特別報告書「Cybersecurity 2024」によると、中堅企業の経営幹部の約3分の1に当たる28％が、「2023年にデータ侵害の被害を受けた」と回答しており、前年度の回答者の20％から増加した（注1）。この報告書は、RSM USが米国商工会議所と共同で2024年5月30日（現地時間、以下同）に発表したものだ。

中堅企業はなぜセキュリティに“関心がない”のか？

　RSM USのタウセフ・ガジ氏（セキュリティおよびプライバシー部門ナショナルリーダー）は「AIという武器を得た犯罪者からの新たな脅威や絶え間ないサイバー警告による企業の疲労、脆弱（ぜいじゃく）な中堅企業を狙う攻撃者がこれまで以上に増え続けていることが増加の原因だ」と述べた。9年間毎年実施している同報告書では、攻撃レベルに関する最新の調査結果が2021年の記録と並んだ（注2）。

　「AIは善人だけでなく悪人にも利用可能だ。AIはさまざまな方法で利用され、エクスプロイトの作成と展開がより速く実行できる。コーディングにかかる時間もAIによってスピードアップしている」（ガジ氏）

　同報告書が作成されたのは、AIの悪用の可能性について警鐘が鳴らされている中でのことだった。「CFO Dive」が以前報じたところでは、米国国家安全保障局（NSA）は2024年4月、AIツールの急速な導入が悪意のあるサイバー行為者にとって格好の標的になっている可能性があると報告書の中で警告した（注3）。

　同時に、企業の防御力も低下している可能性がある。RSM USの報告書は、中堅企業がセキュリティに対して無頓着であることを示している。その一因は、多くの企業がオンプレミスの技術システムからクラウドに移行し、完全に保護されていると勘違いしていることにあるとガジ氏は指摘する。さらにパンデミック以降、企業はクラウドへの移行に多くの時間を費やし、その多くが人手不足に陥っている。

　「クライアントや顧客と仕事をしていると、セキュリティに対する疲労感がみられ、これはパンデミック後の2年間で表れた状況に似ている。われわれはまだその段階には達していないが、危険なほど近づいている」と、ガジ氏は報告書に記載された声明の中で述べた。

　AIツールの使用増加やセキュリティに対する疲労とは関係なく、過去7年ほどの間に多くの脅威行為者が大企業から中堅企業へと攻撃の焦点を移している傾向があると同氏は話す。

　「非常に大規模な組織や複雑な攻撃から、極めて単純な攻撃へと変化した」とガジ氏は述べ、最近では小規模な企業に対する単純なフィッシング攻撃にシフトしていると指摘した。

　「経理部門の誰かにメールを送り、リンクをクリックするとアクセスされてしまう」（ガジ氏）

　この調査結果はCFO（最高情報責任者）やCIO（最高情報責任者）を含む430人の中堅企業幹部からの回答を基に作成され、市場調査会社のThe Harris PollがRSM USのために2024年1月8日〜2024年2月16日にかけてオンラインで実施したものである。調査対象は、売上高1000万〜10億ドルの中堅企業である。

（注1）RSM US Cybersecurity Special Report Spotlights Evolving Threat Environment with Emerging Technologies and Persistent Ransomware Attacks（PR Newswire）
（注2）Cybersecurity 2024 special report（RSM US）
（注3）NSA sounds alarm on AI’s cybersecurity risks（CFO Dive）

原文へのリンク