やはり“セキュリティ=資金力”なのか? 189カ国630万の組織を調査した結果は:Cybersecurity Dive
SecurityScorecardは同社の調査で「国の経済的繁栄は防衛力の強化に直結しており、サイバーセキュリティには貧富の差が生じている」という見立てを公開した。果たして本当か。
2024年1月15日(現地時間)に開催された世界経済フォーラムの年次総会で発表した報告書の中で(注1)、サイバーセキュリティ事業を営むSecurityScorecardは「裕福な地域の組織は貧しい地域の組織に比べてサイバーセキュリティの防御力が高く、サイバーリスクは低い。サイバーセキュリティには貧富の差が生じている」と述べた。
SecurityScorecardは国内総生産(GDP)とサイバーリスクの相関関係を調査し、「国家の経済的繁栄は、サイバー脅威の複雑な状況を乗り切る能力と深く関わっている」と結論付けた。
630万の組織を調査 GDPとサイバーハイジーンスコアの関係
研究によると、サイバーセキュリティへの投資が少ない地域の組織は、データ侵害を経験する可能性が高いことが分かった。SecurityScorecardが定めるサイバーハイジーンのスコアが「C」の地域は、「B」の地域よりもデータ侵害を経験する可能性が2倍近く高く、これは世界の大半の国で見られる傾向だという。
SecurityScorecardの脅威ハンターは、189カ国にわたる630万の組織のサイバー能力を分析し、その結果を、2022年に国際通貨基金(IMF)が公表した1人当たりGDPの経済データと結び付けた。
SecurityScorecardで脅威リサーチ・インテリジェンスを担当するライアン・シャーストビトフ氏(シニアバイスプレジデント)は「GDPが高い地域の組織は、GDPが低い地域の組織よりも技術に多く投資できるため、より近代的なテクノロジーと一貫したサイバーハイジーンを利用できる」と話した。
同社のデータ駆動型のサイバーセキュリティスコアリングシステムは、ネットワークセキュリティやエンドポイントセキュリティ、パッチの適用頻度など、250種類以上の信号を監視し、評価を確立する。サイバーリスクは、脅威情報とデータ侵害の報告に基づいている。
SecurityScorecardは北欧や西欧、中欧、オーストラリア、ニュージーランド、北米、中東の組織に対して、「B」という低いサイバーハイジーンスコアを割り当てた。また、サイバーハイジーンスコアが83%を超える地域はなかった。
その他の地域は、数値に一定の幅はあれど全て「C」に該当するサイバーハイジーンスコアだった。ほとんどの地域のスコアは1人当たりGDPと相関していたが、幾つかの地域には異常値が見られた。
オーストラリアとニュージーランドは1人当たりGDPから予想されるものよりも高いスコアを獲得し、中央アジアとコーカサス地域はSecurityScorecardが予想するよりも低いスコアだった。
IT企業が狙われる理由
SecurityScorecardが調査した11万件以上のセキュリティインシデントにおいて、情報サービスおよびテクノロジー分野の組織がデータ漏えいの影響を最も受けたことも判明した。この2つの業界が受けたインシデントは、SecurityScorecardのデータベースに登録されているセキュリティインシデント全体の約3分の1を占めている。
シャーストビトフ氏によると、攻撃者はIT企業を他の企業環境へのゲートウェイとして使っている。それはIT企業が他の企業に対して、ホスティングやその他のサービスを提供しているためだ。
シャーストビトフ氏は「最近のサイバー攻撃は、わずかなほころびから世界的な侵害が引き起こされることを示している。社内のネットワークやテクノロジーにとどまらず、ベンダーや二次ベンダー、顧客、パートナーまでもが標的企業に関連する攻撃対象となっている。サプライチェーンのリスクを適切に管理しないために、組織は重大なサイバーリスクにさらされている」と指摘した。
(注1)Cyber Conflict and the Erosion of Trust Introducing the Cyber Resilience Scorecard(Security Scorecard)
関連記事
- 「セキュリティ人材が足りない……」と嘆く前に 企業に必要なのは“懐の深さ”だ
セキュリティ人材の不足が世の中で叫ばれていますが、人材不足を嘆く前に自社が従業員の才能を伸ばせる環境かどうかを再考してみるといいかもしれません。 - 世界100カ国超の企業に聞いた「今年最大のリスク」ランキングとその背景
企業のビジネスリスクにおいて最大の懸念は何か。損害保険会社が発表した年次企業リスク調査から明らかになった。 - 今、要注意な4つのサイバー攻撃グループとは? 受けた被害と彼らの手口
ランサムウェアの活動は依然として活発だが、Rapid7の研究者によると、攻撃に使用される独自のランサムウェアの数は半分以下に減少している。その理由とは。 - SaaSのセキュリティ対策ってどうやるの? まずは周辺のリスクを整理しよう
SaaS事業者がサイバー攻撃の被害を受けてサービスを停止したり、ヒューマンエラーなどによって個人情報が漏えいしたりといったセキュリティ事案が発生している。安心、安全なSaaSを見極めてセキュリティ性を適切に評価するポイントを探ります。
© Industry Dive. All rights reserved.