日本経済新聞は7/8、「アジアのサイバー攻撃、4分の3が外部指摘で発見」という記事を掲載しました。日本を含むアジア太平洋地域の組織がサイバー攻撃を受けた際、76%は外部からの指摘で気づいているとの調査結果が出たということです。これ、結構ショッキングなお話です。
米セキュリティー大手、マンディアント
米セキュリティー大手、マンディアントが公表したレポートなんですが、アジア太平洋地域では自社組織内で攻撃を検知できた割合が24%、外部からの指摘で気づいたのが76%だったとのこと。ちなみに、米大陸では自社組織内での検知が60%、外部指摘が40%だったそうです。
ここでいう「外部からの指摘」とは、警察機関やセキュリティー企業からによる通知のほか、ランサムウエア(身代金要求型ウイルス)を仕掛ける犯罪集団からの脅迫状も含まれています。要するにアジアの企業では、サイバー攻撃を受けたことを自社で検知できていないということですね。
いかに早く検知するか
世界全体で攻撃者が組織内のシステムに侵入してから検知までに要した日数を調べたところ、組織内検知では平均18日程度、外部指摘では28日だったそう。攻撃への対処が10日ほど遅れることで、攻撃者が組織内のシステムを動き回り、企業の被害を拡大させることにつながります。
レポートは「アジア太平洋地域」としてまとめられているようですが、日本だけで見てもこの傾向は当てはまると思われます。システムへの投資をコストと考える傾向の強い日本では、自社システムの運用状況の監視に関しても不十分な企業が多いと思います。
このようなレポートが出れば当然、攻撃側もアジアを狙ってくるわけで、守る側も同じ感覚で防御や監視を強める必要があります。企業のシステムリスクの管理状況(経営陣の認識)を見ていると、その企業のガバナンス全体の状況が見えてくるような気がします。