Cloudflareの最新調査で、アジア太平洋地域の企業は自社のサイバーセキュリティ対策に不安を持つことが明らかに
[23/08/31]
提供元:PRTIMES
提供元:PRTIMES
調査に参加した78%が過去1年以内にサイバーセキュリティインシデントを経験した一方で、自社のセキュリティ対策が万全と回答した企業はわずか38%という結果に
セキュリティ、パフォーマンス、信頼性を備えたより高度なインターネットの構築を支援するCloudflare(クラウドフレア)は、本日、日本を含むアジア太平洋地域で行った最新の調査結果を発表しました。「未来を守る:アジア太平洋地域サイバーセキュリティ調査」と題した本レポートでは、アジア太平洋地域におけるサイバーセキュリティ対策に関する最新データを紹介し、増大を続けるサイバーセキュリティインシデントに企業がどのように対処・対策しているかに加え、そこから得られた様々な成果を詳しく分析しています。今回の分析結果から、現実にはサイバー攻撃が増大しているのにも関わらず、大半の組織がサイバーセキュリティ脅威に対処するための準備が十分でないと考えていることが分かりました。
[画像1: https://prtimes.jp/i/61678/50/resize/d61678-50-d4ab8a1527e02a638a59-0.png ]
(アジア太平洋地域全体について)
サイバーセキュリティインシデントの増大に直面する企業
本調査は、オーストラリア、中国、香港特別行政区、インド、インドネシア、マレーシア、ニュージーランド、フィリピン、シンガポール、韓国、台湾、タイ、ベトナム、そして日本のサイバーセキュリティ分野の意思決定者とリーダー 4,000人以上を対象に実施されました。その結果、回答者の78%が、過去12か月の間に1回はサイバーセキュリティインシデントを経験していたことが分かりました。その内、80%が、4回以上のインシデントが発生したと回答しました。また、インシデントの数が10回以上と答えた回答者も半数に及び、今後12か月間にインシデントが増大すると見込んでいる回答者は72%でした。
[画像2: https://prtimes.jp/i/61678/50/resize/d61678-50-45349278d96d8a6ab313-2.png ]
攻撃対策が不十分な組織が負う損失や罰金は数百万ドルにも
サイバーセキュリティインシデントが増大しているにも関わらず、サイバー攻撃への対策を十分に講じていると回答したのはわずか38%に留まりました。特に、ヘルスケア(「対策を十分に講じている」回答者が16%)、教育(同13%)、政府機関(同10%)、旅行・観光(同10%)などの業界では脅威への対策ができていない可能性が高いと考えられていることが明らかになりました。
さらに、調査に参加した回答者の約63%が、サイバーセキュリティインシデントによる自社への財務的影響が過去12か月で100万ドルを超えたと報告し、その内の14%に至っては被害額が300万ドルを超えていたことが判明しました。加えて、アジア太平洋地域の企業は規制措置にも不安を抱えていました。回答者の33%が管轄行政機関に違反を訴え、26%が罰金を支払い、また26%が法的措置に踏み切っています。
この調査では、アジア太平洋地域では依然としてサイバーセキュリティ人材不足が深刻であることが浮かび上がり、回答者の60%がサイバーセキュリティ対策の課題に「人材不足」を挙げました。
ハイブリッド勤務の社員を守りながら、多様化するオンライン攻撃に立ち向かう
本調査の回答者は、過去12か月間にWeb攻撃、フィッシング攻撃、分散サービス妨害(DDoS)攻撃、内部脅威、資格情報の盗難などの被害を報告しました。また、攻撃者の目的として最も多く指摘したのはスパイウェアの埋め込みで、金銭的な利益、データ流出、ランサムウェアなどが続きました。サイバーセキュリティ関連の意思決定者とリーダーが直面する最も差し迫った課題は、ハイブリッド勤務の社員の保護(51%)、サイバー攻撃への防御(48%)、ゼロトラストの導入(42%)の3つでした。
[画像3: https://prtimes.jp/i/61678/50/resize/d61678-50-63142d70a1f3cdea9df7-1.png ]
製品の数と保護の強度は必ずしも比例しない
回答者のほとんどが現在のサイバーセキュリティアーキテクチャに6〜15の製品を使用していると回答した一方、企業の規模が大きくなるほど、使用する製品数はほぼ2倍の20以上に増えることが分かりました。しかし、ソリューションの数が増えるほど、効率性に何らかのマイナスの影響を及ぼすことから、ソリューションの数を減らすべきであると示唆されています。調査結果によると、使用するソリューションの数が15未満の組織のうち、10回以上のサイバーセキュリティインシデントを経験した組織は39%のみでした。ところが、使用するソリューションが15以上の組織では、10回以上のサイバーセキュリティインシデントにあった組織は73%と多くなっています。逆に、12時間以内にインシデントを解決できた割合は、ソリューション数が15未満の企業では80%であったのに対し、ソリューション数が15以上の企業では65%に留まりました。
ほとんどの企業が今後12か月で予算を増強する見込み
本調査の回答者の53%は、過去12か月で組織のIT予算の11〜20%をサイバーセキュリティに割り当てたと述べ、28%がIT予算全体の20%以上を費やしたと回答しました。サイバーセキュリティ関連に最も多くの資金を費やしたのは、ヘルスケア、輸送、金融の各業界でした。一方、教育、ゲーム、政府機関、製造などの業界では支出が少ない傾向にありました。今後の計画としては、回答者全体の67%が12か月の間にサイバーセキュリティ関連の予算を増やすと回答し、現在の支出額を維持すると回答したのは22%でした。
(日本について)
日本の回答者の81%が過去12か月の間に少なくとも1件のサイバーセキュリティインシデントを経験し、60%が10件以上のインシデントを経験したことが明らかになりました。日本で最も一般的なサイバーセキュリティインシデントは、マルウェア(53%)、ビジネスメール詐欺(48%)、ランサムウェア・スパイウェア(43%)であり、日本で最も多くのサイバーセキュリティインシデントを経験した業界は、メディア・電気通信、ビジネス・プロフェッショナルサービス、金融サービスでした。
日本では、サイバーセキュリティインシデントが頻発しているにも関わらず、インシデントを回避するために「十分な対策を講じている」と回答したのは46%に留まり、対策の欠如が何百万もの損失をもたらしていることが分かりました。回答者の71%は、過去12か月間に少なくとも100万ドルの財務的影響を受け、54%が少なくとも200万ドルの財務的影響を受けました。サイバーセキュリティインシデントによって影響を受けるのは財務だけではなく、それ以外に被った最大の影響として、顧客データの損失(66%)、知的財産の損失(65%)、社員情報の損失(62%)が挙げられました。
日本の回答者の53%は、組織のIT予算全体の16%から25%がサイバーセキュリティ対策に割り当てられていると回答しましたが、サイバーセキュリティ対策に関して直面している最大の課題は人材不足であるという回答が72%に上りました。
クラウドフレア・ジャパン株式会社執行役員社長の佐藤知成は、「サイバーセキュリティへの備えが重要である一方で、企業はこれまで以上に不安定で複雑なサイバーセキュリティ環境に立ち向かい続けています。しかし、投入する予算や製品を増やすだけで、最善の成果が得られるわけではありません。費用を抑えつつ、より堅牢で管理が簡単なサイバーセキュリティインフラを構築するという二重のメリットを両立するためにすべての組織に求められるのは、サイバーセキュリティに戦略的にアプローチするためにビジネスリーダーの背中を押す強固なセキュリティ文化を醸成することです。クラウドフレア・ジャパンは、日本企業の資産を保護し、安全性を守るための取り組みを続けて参ります」と述べています。
[画像4: https://prtimes.jp/i/61678/50/resize/d61678-50-9a3c2e51b6f6c23bbe76-3.png ]
調査レポート「未来を守る:アジア太平洋地域サイバーセキュリティ調査」の詳細については、以下のリソースをご確認ください。
Securing the Future: Asia Pacific Cybersecurity Readiness Survey
https://www.cloudflare.com/en-gb/lp/2023apjcsurvey/download/
ミニレポート:日本(Cloudflare アジア太平洋地域サイバーセキュリティ調査より)
https://prtimes.jp/a/?f=d61678-50-df9167e608b175f47f2938d2f41b6dea.pdf
調査方法
本調査は、小規模(従業員150〜999人)、中規模(従業員1,000〜2,500人)、大規模(従業員2,501人以上)の組織のサイバーセキュリティ関連の意思決定者およびリーダー4,009名を対象に、Cloudflareに代わりSandpiper Communications社が実施しました。回答者の業界は、ビジネス・プロフェッショナルサービス、建設・不動産、教育、エネルギー・公共事業・天然資源、金融サービス、ゲーム、政府機関、ヘルスケア、IT・テクノロジー、製造、メディア・電気通信、小売、運輸、旅行・観光・ホスピタリティなど多岐にわたります。回答者は、アジア太平洋地域の14市場(オーストラリア、中国、香港特別行政区、インド、インドネシア、日本、マレーシア、ニュージーランド、フィリピン、シンガポール、韓国、台湾、タイ、ベトナム)を拠点としており、各地の企業委員会を通じて募集・オンラインで調査を実施しました(1か国あたりn=203〜426名)。アジア太平洋地域の広大で多様な国と地域で、最高情報セキュリティ責任者(CISO)やそのチームが直面している脅威の状況を把握し、有益な結果につながる行動を深く理解することを目的に行った本調査は、2023年7月に実施されました。
Cloudflare(クラウドフレア)について
Cloudflare, Inc.( https://www.cloudflare.com/ja-jp/ /@cloudflare)の使命は、より良いインターネットの構築をサポートすることです。Cloudflareの製品は、ハードウェアやソフトウェアの追加、コードの変更を行うことなく、あらゆるインターネットアプリケーションを保護、高速化します。Cloudflareのインテリジェントなグローバルネットワークを経由することによって、インターネットプロパティのすべてのトラフィックがリクエストを受け取るたびにスマートになります。その結果、パフォーマンスが大幅に向上し、スパムやその他の攻撃が減少します。Cloudflareは、2020年に「Reuters Events for Global Responsible Business」から表彰され、2021年にはFast Company「Most Innovative Companies」に選出、2022年にはNewsweek「Top 100 Most Loved Workplaces」にランクインしています。
将来予想に関する記述
本プレスリリースには、将来予想に関する記述(1933年米国証券法第27A条および1934年米国証券取引所法21E条(いずれもその後の改正を含む)に該当)があり、それらには重大なリスクおよび不確定要因が含まれています。将来予想に関する記述は、「場合があります」、「つもりです、するでしょう」、「はずです」、「見込まれます」、「可能性を探ります」、「する計画です」、「予想します」、「かもしれません」、「意図しています」、「目標とします」、「見積ります」、「検討します」、「考えます」、「推測します」、「予測します」、「潜在的」、「引き続き」、またはそれらの否定表現、あるいは当社の予想、戦略、計画、または意図に関わるその他同様の用語もしくは表現によって識別することができます。しかし、すべての将来予想に関する記述にこうした語句が含まれているわけではありません。本プレスリリースにて明示または黙示されている将来予想に関する記述には、Cloudflareのグローバルネットワーク、製品と技術に関するCloudflareの計画や目標、Cloudflareの技術開発、将来の事業展開、成長、イニシアチブ、戦略、アジア太平洋、日本、中国担当VP兼マネージングディレクターその他のコメントに関する記述を含みますが、それらに限定はされません。当社が2023年8月3日に米国証券取引委員会(SEC)に提出した四半期報告書(フォーム10-Q)や当社がSECに随時提出するその他の文書で詳説するリスク(ただしこれらに限定はされない)をはじめ、さまざまな要因によって、上記の将来予想に関する記述で明示または黙示した結果と実際の結果との間に重大な相違が生じる可能性があります。
本プレスリリースに含まれる将来予想に関する記述は、あくまで記述当日現在の事象についてのみ言及しています。Cloudflareは、法律で義務付けられた場合を除き、本プレスリリースの日付以降の事象や状況を反映するために、あるいは新しい情報や予期しない事象の発生を反映するために、将来予想に関する記述を更新する義務を負いません。Cloudflareが将来予想に関する記述で開示した計画、意図、予想は実際に実行・達成されない場合があるため、当社の将来予想に関する記述に過剰に依存すべきではありません。
(C)2023 Cloudflare, Inc. All rights reserved. Cloudflare、Cloudflareのロゴ、およびその他のCloudflareのマークは、米国およびその他の法域におけるCloudflare, Inc. の商標や登録商標です。本書に記載されているその他の商標および名称は、各所有者の商標である可能性があります。
セキュリティ、パフォーマンス、信頼性を備えたより高度なインターネットの構築を支援するCloudflare(クラウドフレア)は、本日、日本を含むアジア太平洋地域で行った最新の調査結果を発表しました。「未来を守る:アジア太平洋地域サイバーセキュリティ調査」と題した本レポートでは、アジア太平洋地域におけるサイバーセキュリティ対策に関する最新データを紹介し、増大を続けるサイバーセキュリティインシデントに企業がどのように対処・対策しているかに加え、そこから得られた様々な成果を詳しく分析しています。今回の分析結果から、現実にはサイバー攻撃が増大しているのにも関わらず、大半の組織がサイバーセキュリティ脅威に対処するための準備が十分でないと考えていることが分かりました。
[画像1: https://prtimes.jp/i/61678/50/resize/d61678-50-d4ab8a1527e02a638a59-0.png ]
(アジア太平洋地域全体について)
サイバーセキュリティインシデントの増大に直面する企業
本調査は、オーストラリア、中国、香港特別行政区、インド、インドネシア、マレーシア、ニュージーランド、フィリピン、シンガポール、韓国、台湾、タイ、ベトナム、そして日本のサイバーセキュリティ分野の意思決定者とリーダー 4,000人以上を対象に実施されました。その結果、回答者の78%が、過去12か月の間に1回はサイバーセキュリティインシデントを経験していたことが分かりました。その内、80%が、4回以上のインシデントが発生したと回答しました。また、インシデントの数が10回以上と答えた回答者も半数に及び、今後12か月間にインシデントが増大すると見込んでいる回答者は72%でした。
[画像2: https://prtimes.jp/i/61678/50/resize/d61678-50-45349278d96d8a6ab313-2.png ]
攻撃対策が不十分な組織が負う損失や罰金は数百万ドルにも
サイバーセキュリティインシデントが増大しているにも関わらず、サイバー攻撃への対策を十分に講じていると回答したのはわずか38%に留まりました。特に、ヘルスケア(「対策を十分に講じている」回答者が16%)、教育(同13%)、政府機関(同10%)、旅行・観光(同10%)などの業界では脅威への対策ができていない可能性が高いと考えられていることが明らかになりました。
さらに、調査に参加した回答者の約63%が、サイバーセキュリティインシデントによる自社への財務的影響が過去12か月で100万ドルを超えたと報告し、その内の14%に至っては被害額が300万ドルを超えていたことが判明しました。加えて、アジア太平洋地域の企業は規制措置にも不安を抱えていました。回答者の33%が管轄行政機関に違反を訴え、26%が罰金を支払い、また26%が法的措置に踏み切っています。
この調査では、アジア太平洋地域では依然としてサイバーセキュリティ人材不足が深刻であることが浮かび上がり、回答者の60%がサイバーセキュリティ対策の課題に「人材不足」を挙げました。
ハイブリッド勤務の社員を守りながら、多様化するオンライン攻撃に立ち向かう
本調査の回答者は、過去12か月間にWeb攻撃、フィッシング攻撃、分散サービス妨害(DDoS)攻撃、内部脅威、資格情報の盗難などの被害を報告しました。また、攻撃者の目的として最も多く指摘したのはスパイウェアの埋め込みで、金銭的な利益、データ流出、ランサムウェアなどが続きました。サイバーセキュリティ関連の意思決定者とリーダーが直面する最も差し迫った課題は、ハイブリッド勤務の社員の保護(51%)、サイバー攻撃への防御(48%)、ゼロトラストの導入(42%)の3つでした。
[画像3: https://prtimes.jp/i/61678/50/resize/d61678-50-63142d70a1f3cdea9df7-1.png ]
製品の数と保護の強度は必ずしも比例しない
回答者のほとんどが現在のサイバーセキュリティアーキテクチャに6〜15の製品を使用していると回答した一方、企業の規模が大きくなるほど、使用する製品数はほぼ2倍の20以上に増えることが分かりました。しかし、ソリューションの数が増えるほど、効率性に何らかのマイナスの影響を及ぼすことから、ソリューションの数を減らすべきであると示唆されています。調査結果によると、使用するソリューションの数が15未満の組織のうち、10回以上のサイバーセキュリティインシデントを経験した組織は39%のみでした。ところが、使用するソリューションが15以上の組織では、10回以上のサイバーセキュリティインシデントにあった組織は73%と多くなっています。逆に、12時間以内にインシデントを解決できた割合は、ソリューション数が15未満の企業では80%であったのに対し、ソリューション数が15以上の企業では65%に留まりました。
ほとんどの企業が今後12か月で予算を増強する見込み
本調査の回答者の53%は、過去12か月で組織のIT予算の11〜20%をサイバーセキュリティに割り当てたと述べ、28%がIT予算全体の20%以上を費やしたと回答しました。サイバーセキュリティ関連に最も多くの資金を費やしたのは、ヘルスケア、輸送、金融の各業界でした。一方、教育、ゲーム、政府機関、製造などの業界では支出が少ない傾向にありました。今後の計画としては、回答者全体の67%が12か月の間にサイバーセキュリティ関連の予算を増やすと回答し、現在の支出額を維持すると回答したのは22%でした。
(日本について)
日本の回答者の81%が過去12か月の間に少なくとも1件のサイバーセキュリティインシデントを経験し、60%が10件以上のインシデントを経験したことが明らかになりました。日本で最も一般的なサイバーセキュリティインシデントは、マルウェア(53%)、ビジネスメール詐欺(48%)、ランサムウェア・スパイウェア(43%)であり、日本で最も多くのサイバーセキュリティインシデントを経験した業界は、メディア・電気通信、ビジネス・プロフェッショナルサービス、金融サービスでした。
日本では、サイバーセキュリティインシデントが頻発しているにも関わらず、インシデントを回避するために「十分な対策を講じている」と回答したのは46%に留まり、対策の欠如が何百万もの損失をもたらしていることが分かりました。回答者の71%は、過去12か月間に少なくとも100万ドルの財務的影響を受け、54%が少なくとも200万ドルの財務的影響を受けました。サイバーセキュリティインシデントによって影響を受けるのは財務だけではなく、それ以外に被った最大の影響として、顧客データの損失(66%)、知的財産の損失(65%)、社員情報の損失(62%)が挙げられました。
日本の回答者の53%は、組織のIT予算全体の16%から25%がサイバーセキュリティ対策に割り当てられていると回答しましたが、サイバーセキュリティ対策に関して直面している最大の課題は人材不足であるという回答が72%に上りました。
クラウドフレア・ジャパン株式会社執行役員社長の佐藤知成は、「サイバーセキュリティへの備えが重要である一方で、企業はこれまで以上に不安定で複雑なサイバーセキュリティ環境に立ち向かい続けています。しかし、投入する予算や製品を増やすだけで、最善の成果が得られるわけではありません。費用を抑えつつ、より堅牢で管理が簡単なサイバーセキュリティインフラを構築するという二重のメリットを両立するためにすべての組織に求められるのは、サイバーセキュリティに戦略的にアプローチするためにビジネスリーダーの背中を押す強固なセキュリティ文化を醸成することです。クラウドフレア・ジャパンは、日本企業の資産を保護し、安全性を守るための取り組みを続けて参ります」と述べています。
[画像4: https://prtimes.jp/i/61678/50/resize/d61678-50-9a3c2e51b6f6c23bbe76-3.png ]
調査レポート「未来を守る:アジア太平洋地域サイバーセキュリティ調査」の詳細については、以下のリソースをご確認ください。
Securing the Future: Asia Pacific Cybersecurity Readiness Survey
https://www.cloudflare.com/en-gb/lp/2023apjcsurvey/download/
ミニレポート:日本(Cloudflare アジア太平洋地域サイバーセキュリティ調査より)
https://prtimes.jp/a/?f=d61678-50-df9167e608b175f47f2938d2f41b6dea.pdf
調査方法
本調査は、小規模(従業員150〜999人)、中規模(従業員1,000〜2,500人)、大規模(従業員2,501人以上)の組織のサイバーセキュリティ関連の意思決定者およびリーダー4,009名を対象に、Cloudflareに代わりSandpiper Communications社が実施しました。回答者の業界は、ビジネス・プロフェッショナルサービス、建設・不動産、教育、エネルギー・公共事業・天然資源、金融サービス、ゲーム、政府機関、ヘルスケア、IT・テクノロジー、製造、メディア・電気通信、小売、運輸、旅行・観光・ホスピタリティなど多岐にわたります。回答者は、アジア太平洋地域の14市場(オーストラリア、中国、香港特別行政区、インド、インドネシア、日本、マレーシア、ニュージーランド、フィリピン、シンガポール、韓国、台湾、タイ、ベトナム)を拠点としており、各地の企業委員会を通じて募集・オンラインで調査を実施しました(1か国あたりn=203〜426名)。アジア太平洋地域の広大で多様な国と地域で、最高情報セキュリティ責任者(CISO)やそのチームが直面している脅威の状況を把握し、有益な結果につながる行動を深く理解することを目的に行った本調査は、2023年7月に実施されました。
Cloudflare(クラウドフレア)について
Cloudflare, Inc.( https://www.cloudflare.com/ja-jp/ /@cloudflare)の使命は、より良いインターネットの構築をサポートすることです。Cloudflareの製品は、ハードウェアやソフトウェアの追加、コードの変更を行うことなく、あらゆるインターネットアプリケーションを保護、高速化します。Cloudflareのインテリジェントなグローバルネットワークを経由することによって、インターネットプロパティのすべてのトラフィックがリクエストを受け取るたびにスマートになります。その結果、パフォーマンスが大幅に向上し、スパムやその他の攻撃が減少します。Cloudflareは、2020年に「Reuters Events for Global Responsible Business」から表彰され、2021年にはFast Company「Most Innovative Companies」に選出、2022年にはNewsweek「Top 100 Most Loved Workplaces」にランクインしています。
将来予想に関する記述
本プレスリリースには、将来予想に関する記述(1933年米国証券法第27A条および1934年米国証券取引所法21E条(いずれもその後の改正を含む)に該当)があり、それらには重大なリスクおよび不確定要因が含まれています。将来予想に関する記述は、「場合があります」、「つもりです、するでしょう」、「はずです」、「見込まれます」、「可能性を探ります」、「する計画です」、「予想します」、「かもしれません」、「意図しています」、「目標とします」、「見積ります」、「検討します」、「考えます」、「推測します」、「予測します」、「潜在的」、「引き続き」、またはそれらの否定表現、あるいは当社の予想、戦略、計画、または意図に関わるその他同様の用語もしくは表現によって識別することができます。しかし、すべての将来予想に関する記述にこうした語句が含まれているわけではありません。本プレスリリースにて明示または黙示されている将来予想に関する記述には、Cloudflareのグローバルネットワーク、製品と技術に関するCloudflareの計画や目標、Cloudflareの技術開発、将来の事業展開、成長、イニシアチブ、戦略、アジア太平洋、日本、中国担当VP兼マネージングディレクターその他のコメントに関する記述を含みますが、それらに限定はされません。当社が2023年8月3日に米国証券取引委員会(SEC)に提出した四半期報告書(フォーム10-Q)や当社がSECに随時提出するその他の文書で詳説するリスク(ただしこれらに限定はされない)をはじめ、さまざまな要因によって、上記の将来予想に関する記述で明示または黙示した結果と実際の結果との間に重大な相違が生じる可能性があります。
本プレスリリースに含まれる将来予想に関する記述は、あくまで記述当日現在の事象についてのみ言及しています。Cloudflareは、法律で義務付けられた場合を除き、本プレスリリースの日付以降の事象や状況を反映するために、あるいは新しい情報や予期しない事象の発生を反映するために、将来予想に関する記述を更新する義務を負いません。Cloudflareが将来予想に関する記述で開示した計画、意図、予想は実際に実行・達成されない場合があるため、当社の将来予想に関する記述に過剰に依存すべきではありません。
(C)2023 Cloudflare, Inc. All rights reserved. Cloudflare、Cloudflareのロゴ、およびその他のCloudflareのマークは、米国およびその他の法域におけるCloudflare, Inc. の商標や登録商標です。本書に記載されているその他の商標および名称は、各所有者の商標である可能性があります。