アタックサーフェス管理に予算は「割かない」？ 日本企業のマズイ現状：セキュリティニュースアラート

トレンドマイクロは世界21カ国と地域におけるアタックサーフェス管理の実態に関する調査結果を発表した。半数以上の国や地域が未把握・未管理のIT資産に起因するセキュリティインシデントを経験していることが分かった。

[後藤大地，有限会社オングス]

　トレンドマイクロは2025年5月28日、世界21カ国と地域におけるアタックサーフェス管理の実態に関する調査結果を発表した。生成AIの普及や多様な勤務形態の浸透により、IT資産の増加と複雑化が進んでおり、それに伴いセキュリティリスクが高まっている実態が明らかになった。

　同調査は2025年1〜2月にかけて、2250人のセキュリティリーダーを対象に実施された。調査結果によると、全体の74％が未管理のIT資産に起因するセキュリティインシデントを経験していた。国別では、パキスタンが95％と最も高く、ノルウェー（87％）、デンマーク（85％）と続く。日本は71％が該当し、最も低いイタリアでも58％だったという。

アタックサーフェス管理に予算は「割かない」？　日本のマズイ現状

　調査対象の全ての国や地域で半数以上が、未把握・未管理のIT資産に起因するセキュリティインシデントを経験している状況が判明した。こうした未把握のIT資産が、組織にとってセキュリティリスクとなっていることが示されている。背景には生成AI環境やIoTデバイスの導入増加により、セキュリティ管理が急速な変化に対応しきれていない実情がある。

　調査によると、91％の回答者が「アタックサーフェスマネジメントが自組織のビジネスリスクと直接的またはある程度関連している」と認識している。アタックサーフェスマネジメント不備による具体的な影響としては「事業の継続性」（42％）、「市場競争力」（39％）、「顧客からの信頼／ブランドの評判」（39％）などが挙がった。

　国内では2024年6月に発生したKADOKAWAおよびドワンゴのインシデントをはじめ、イセトーや関通、ライクキッズなどの事例で、ランサムウェア被害や情報漏えいがサプライチェーンに影響を及ぼすことが報道された。こうした事例が、組織外との関係性や信頼性への影響に対する意識を強めた可能性がある。

　また、アタックサーフェスマネジメントの対策が十分に取られていないことも判明した。調査によると、アタックサーフェス全体のリスクを能動的に管理するツールを導入している組織は半数以下の43％にとどまっているという。最も進んでいるのはマレーシア（67％）で、最も遅れているのはデンマーク（29％）だった。日本は47％で平均（43％）をわずかに上回った。調査対象者の55％（日本は53％）が、「リスクへの対応が場当たり的で継続的かつ体系的なリスク管理プロセスが整備されていない」と回答した。

　アタックサーフェス管理に割り当てられているセキュリティ予算の割合は、全体平均で27％にとどまっており、日本は22％（21.93％）と下位に位置した。予算の割合が最も高かったのはポーランドで32％、低いのはフランス（21.36％）とパキスタン（21.39％）だった。調査対象の全ての国や地域で77％の組織が現在のリソースは課題に対処するのに適切と考えている一方、日本は59％にとどまり、リソースの不十分さを感じている層の存在が浮き彫りとなった。

　セキュリティベンダーの選定においても日本の傾向が際立っている。「既存ソリューションとの統合を重視する」と回答した日本の回答者は45％で、全体平均の30％を大きく上回った。続いて「プロアクティブな脅威検知」（32％）、「コスト」（29％）が重視されている。

　トレンドマイクロは既存ソリューションとの整合や導入の難しさといった課題に対応する手段として、セキュリティプラットフォームの有効性を提唱している。可視化やリスクの優先順位付け、緩和策を一元的に提供することでアタックサーフェスの管理負荷を軽減し、脅威への能動的な対応を可能にするソリューションとして注目されている。

　今回の調査結果は、IT資産の増加とともに広がるアタックサーフェスに対し、国内外を問わず多くの組織が課題を抱えている現状を映し出している。セキュリティインシデントがビジネスに与える影響を見過ごさず、リスク軽減のための能動的な対策と資源の適切な配分が求められている。