Cloudflare、「未来を守る：アジア太平洋地域サイバーセキュリティ調査」の結果を発表

セキュリティ、パフォーマンス、信頼性を備えたより高度なインターネットの構築を支援するCloudflare（クラウドフレア）は、日本を含むアジア太平洋地域で行った最新の調査結果を発表しました。

「未来を守る：アジア太平洋地域サイバーセキュリティ調査」と題した本レポートでは、アジア太平洋地域におけるサイバーセキュリティ対策に関する最新データを紹介し、増大を続けるサイバーセキュリティインシデントに企業がどのように対処・対策しているかに加え、そこから得られた様々な成果を詳しく分析しています。

今回の分析結果から、現実にはサイバー攻撃が増大しているのにも関わらず、大半の組織がサイバーセキュリティ脅威に対処するための準備が十分でないと考えていることが分かりました。

（アジア太平洋地域全体について）

サイバーセキュリティインシデントの増大に直面する企業

本調査は、オーストラリア、中国、香港特別行政区、インド、インドネシア、マレーシア、ニュージーランド、フィリピン、シンガポール、韓国、台湾、タイ、ベトナム、そして日本のサイバーセキュリティ分野の意思決定者とリーダー　4,000人以上を対象に実施されました。その結果、回答者の78%が、過去12か月の間に1回はサイバーセキュリティインシデントを経験していたことが分かりました。その内、80%が、4回以上のインシデントが発生したと回答しました。また、インシデントの数が10回以上と答えた回答者も半数に及び、今後12か月間にインシデントが増大すると見込んでいる回答者は72%でした。

業界別データ（全地域）

攻撃対策が不十分な組織が負う損失や罰金は数百万ドルにも

サイバーセキュリティインシデントが増大しているにも関わらず、サイバー攻撃への対策を十分に講じていると回答したのはわずか38%に留まりました。特に、ヘルスケア（「対策を十分に講じている」回答者が16%）、教育（同13%）、政府機関（同10%）、旅行・観光（同10%）などの業界では脅威への対策ができていない可能性が高いと考えられていることが明らかになりました。  

さらに、調査に参加した回答者の約63%が、サイバーセキュリティインシデントによる自社への財務的影響が過去12か月で100万ドルを超えたと報告し、その内の14%に至っては被害額が300万ドルを超えていたことが判明しました。加えて、アジア太平洋地域の企業は規制措置にも不安を抱えていました。回答者の33%が管轄行政機関に違反を訴え、26%が罰金を支払い、また26%が法的措置に踏み切っています。

この調査では、アジア太平洋地域では依然としてサイバーセキュリティ人材不足が深刻であることが浮かび上がり、回答者の60%がサイバーセキュリティ対策の課題に「人材不足」を挙げました。  

ハイブリッド勤務の社員を守りながら、多様化するオンライン攻撃に立ち向かう

本調査の回答者は、過去12か月間にWeb攻撃、フィッシング攻撃、分散サービス妨害（DDoS）攻撃、内部脅威、資格情報の盗難などの被害を報告しました。また、攻撃者の目的として最も多く指摘したのはスパイウェアの埋め込みで、金銭的な利益、データ流出、ランサムウェアなどが続きました。サイバーセキュリティ関連の意思決定者とリーダーが直面する最も差し迫った課題は、ハイブリッド勤務の社員の保護（51%）、サイバー攻撃への防御（48%）、ゼロトラストの導入（42%）の3つでした。

サイバーセキュリティ攻撃データ（全地域）

製品の数と保護の強度は必ずしも比例しない

回答者のほとんどが現在のサイバーセキュリティアーキテクチャに6～15の製品を使用していると回答した一方、企業の規模が大きくなるほど、使用する製品数はほぼ2倍の20以上に増えることが分かりました。しかし、ソリューションの数が増えるほど、効率性に何らかのマイナスの影響を及ぼすことから、ソリューションの数を減らすべきであると示唆されています。調査結果によると、使用するソリューションの数が15未満の組織のうち、10回以上のサイバーセキュリティインシデントを経験した組織は39%のみでした。ところが、使用するソリューションが15以上の組織では、10回以上のサイバーセキュリティインシデントにあった組織は73%と多くなっています。逆に、12時間以内にインシデントを解決できた割合は、ソリューション数が15未満の企業では80%であったのに対し、ソリューション数が15以上の企業では65%に留まりました。

ほとんどの企業が今後12か月で予算を増強する見込み

本調査の回答者の53%は、過去12か月で組織のIT予算の11～20%をサイバーセキュリティに割り当てたと述べ、28%がIT予算全体の20%以上を費やしたと回答しました。サイバーセキュリティ関連に最も多くの資金を費やしたのは、ヘルスケア、輸送、金融の各業界でした。一方、教育、ゲーム、政府機関、製造などの業界では支出が少ない傾向にありました。今後の計画としては、回答者全体の67%が12か月の間にサイバーセキュリティ関連の予算を増やすと回答し、現在の支出額を維持すると回答したのは22%でした。

（日本について）

日本の回答者の81％が過去12か月の間に少なくとも1件のサイバーセキュリティインシデントを経験し、60％が10件以上のインシデントを経験したことが明らかになりました。日本で最も一般的なサイバーセキュリティインシデントは、マルウェア（53%）、ビジネスメール詐欺（48%）、ランサムウェア・スパイウェア（43%）であり、日本で最も多くのサイバーセキュリティインシデントを経験した業界は、メディア・電気通信、ビジネス・プロフェッショナルサービス、金融サービスでした。

日本では、サイバーセキュリティインシデントが頻発しているにも関わらず、インシデントを回避するために「十分な対策を講じている」と回答したのは46%に留まり、対策の欠如が何百万もの損失をもたらしていることが分かりました。回答者の71％は、過去12か月間に少なくとも100万ドルの財務的影響を受け、54％が少なくとも200万ドルの財務的影響を受けました。サイバーセキュリティインシデントによって影響を受けるのは財務だけではなく、それ以外に被った最大の影響として、顧客データの損失（66％）、知的財産の損失（65％）、社員情報の損失（62％）が挙げられました。

日本の回答者の53%は、組織のIT予算全体の16%から25%がサイバーセキュリティ対策に割り当てられていると回答しましたが、サイバーセキュリティ対策に関して直面している最大の課題は人材不足であるという回答が72%に上りました。

クラウドフレア・ジャパン株式会社執行役員社長の佐藤知成は、「サイバーセキュリティへの備えが重要である一方で、企業はこれまで以上に不安定で複雑なサイバーセキュリティ環境に立ち向かい続けています。しかし、投入する予算や製品を増やすだけで、最善の成果が得られるわけではありません。費用を抑えつつ、より堅牢で管理が簡単なサイバーセキュリティインフラを構築するという二重のメリットを両立するためにすべての組織に求められるのは、サイバーセキュリティに戦略的にアプローチするためにビジネスリーダーの背中を押す強固なセキュリティ文化を醸成することです。クラウドフレア・ジャパンは、日本企業の資産を保護し、安全性を守るための取り組みを続けて参ります」と述べています。

調査方法

本調査は、小規模（従業員150～999人）、中規模（従業員1,000～2,500人）、大規模（従業員2,501人以上）の組織のサイバーセキュリティ関連の意思決定者およびリーダー4,009名を対象に、Cloudflareに代わりSandpiper Communications社が実施しました。回答者の業界は、ビジネス・プロフェッショナルサービス、建設・不動産、教育、エネルギー・公共事業・天然資源、金融サービス、ゲーム、政府機関、ヘルスケア、IT・テクノロジー、製造、メディア・電気通信、小売、運輸、旅行・観光・ホスピタリティなど多岐にわたります。回答者は、アジア太平洋地域の14市場（オーストラリア、中国、香港特別行政区、インド、インドネシア、日本、マレーシア、ニュージーランド、フィリピン、シンガポール、韓国、台湾、タイ、ベトナム）を拠点としており、各地の企業委員会を通じて募集・オンラインで調査を実施しました（1か国あたりn＝203～426名）。アジア太平洋地域の広大で多様な国と地域で、最高情報セキュリティ責任者（CISO）やそのチームが直面している脅威の状況を把握し、有益な結果につながる行動を深く理解することを目的に行った本調査は、2023年7月に実施されました。