2020年に新型コロナウイルス感染症(COVID-19)のパンデミックが起きたことにより、我々の働き方は一変しました。これまでリモートワークは限定的な働き方として整備されてきましたが、国や都道府県による外出自粛要請等により、リモートワークは広く普及しはじめています。
リモートワークやコミュニケーションツールの利用が浸透するなかで、サイバー攻撃は新たな局面を迎えており、二重脅迫型ランサムウェアなどによる被害がさらに拡がりを見せています。働き方の変化がサイバー攻撃をより複雑化させ、新たなリスクが生み出されています。
さまざまな問題を提起することになったCOVID-19は、サイバーセキュリティにおいても大きな影響を与えています。それが企業や組織の施策・計画に対してどのように影響したのかを知るために、本調査では新しい取組みとして、NISTのサイバーセキュリティフレームワーク(CSF)を意識した設問を構成して分析しました。
今年で5回目となる「サイバーセキュリティサーベイ」は、KPMGコンサルティングとKPMGFASが、デジタル化におけるサイバーセキュリティ推進のための有益な情報提供を目的として、調査を実施したものです。

サイバーセキュリティ

回答企業の30.5%がサイバーインシデントや不正侵入の痕跡を発見しており、サイバー攻撃が対岸の火事ではなくなってきています。一方、予算不足(65.6%)や情報セキュリティ人材不足(79.0%)が原因で、サイバーセキュリティ対策の導入がなかなか進まず、日々、高度化・複雑化し続けるサイバー攻撃への対応に苦慮している様子がうかがえます。

「サイバーセキュリティサーベイ2022」を発表_図表1

サイバー攻撃の発生状況と攻撃の種類
サイバー攻撃の痕跡を確認した企業において、被害を受けた攻撃としては、ランサムウェアが26.4%とトップにあがりました。

ランサムウェア 26.4%
マルウェア 25.3%
ウェブサイトの改ざん 20.7%
ウェブサービスへの不正ログインや情報窃取 20.7%
フィッシング詐欺 19.5%
DDoS(サービス妨害)攻撃 19.5%
標的型攻撃 18.4%
不正送金などを指示するビジネスメール詐欺 17.2%
ソーシャルエンジニアリング 17.2%
クラウドサービスに対する攻撃 17.2%
内部不正による情報漏えい 16.1%
IoTデバイスに対する攻撃 13.8%
その他 8.0%

(複数選択可/n=87)

サイバーインシデントの被害状況
サイバーインシデントにより、「自社に経済的な損失が発生した」、「自社の業務やシステムが著しく遅延・中断した」という回答が多く、企業のビジネスに実害を及ぼしている様子がうかがえます。また、損失費用が発生した企業における損失合計額としては、100万~1,000万円未満が最も多いものの、1億円以上の損失被害も発生しています。

サイバーセキュリティサーベイ2022_図表1

サイバーセキュリティへの対応状況
回答企業のうち、45.6%がSOC(Security Operation Center)を導入しており、34.4%がCSIRTを設置していると回答しました。
また、脆弱性診断やペネトレーションテストの実施は65.6%だったのに対し、訓練・演習を「十分できている」と回答する企業は少なく、特にレッドチーム演習(セキュリティ専門家で構成する攻撃チームが攻撃を仕掛け、攻撃される企業のセキュリティ対策状況を検証)はほとんど実施されていません。

サイバーセキュリティサーベイ2022_図表2

リモートワークセキュリティ

回答企業の75.1%が何らかの形で在宅勤務を導入している一方で、リモートワークにおけるサイバーセキュリティの対策方針を策定している企業は47.7%と半分に満たない状況です。既存の事業継続計画の流用を含めると、在宅勤務率の高い企業ほど対策方針を明確にしている割合が高く、在宅勤務率90~100%の企業の88.8%が対策方針を策定している、もしくは既存の事業継続計画を流用していると回答しています。

サイバーセキュリティサーベイ2022_図表3

在宅勤務で講じられているセキュリティ対策
回答企業の半数以上がハードディスクの暗号化、USB接続の制限・禁止、モバイルデバイス管理(MDM)によるスマートフォン等のリモート消去を導入しています。一方で、メール・ウェブ・クラウド経由の情報漏えい対策(DLP)は17.3%でした。このことから、端末からの物理的な情報漏えい対策が講じられている反面、ネットワーク経由における対策はあまり普及していない様子がうかがえます。

「サイバーセキュリティサーベイ2022」を発表_図表5

制御システムセキュリティ

回答企業の約3割が、工場・プラントにおける制御システムに関する事業に取り組んでいます。そのなかで海外工場が存在する企業において、統制管理ができていないとの回答は68.7%に達しており、前回(2019年)の調査と同じ傾向が見られます。

サイバーセキュリティサーベイ2022_図表4

制御システムセキュリティ対策の実施状況
制御システムのセキュリティ対策は、ネットワーク対策に重点が置かれている傾向が見られますが、これは制御システムの設備機器そのものに対策を実施することが難しいことが要因の1つと考えられます。今後の課題としては、設備機器の脆弱性管理や統合ログといったセキュリティ運用面の対策が挙げられます。

サイバーセキュリティサーベイ2022_図表5

※本レポートの全文は、下記のPDFよりご覧いただけます。

お問合せ