日本企業の84％が不正アクセスの被害に CyberArkがセキュリティに関する脅威意識を調査：多要素認証よりもCIEMを重視

CyberArk Softwareは「CyberArk2022年版 アイデンティティ セキュリティに関する脅威意識調査」の結果を発表した。日本では、セキュリティ対策として多要素認証よりも、クラウドインフラ資格管理を重視する企業が多いことが分かった。

[＠IT]

　CyberArk Softwareは2022年5月30日、「CyberArk2022年版 アイデンティティ セキュリティに関する脅威意識調査」の結果を発表した。同調査は、日本、米国、英国、フランス、ドイツ、イタリア、スペイン、ブラジル、メキシコ、イスラエル、シンガポール、オーストラリアの12カ国で実施したもの。同社は調査結果を受け、最新のサイバー攻撃から企業の重要資産を保護するためには、機密情報へのアクセス管理とゼロトラスト原則を実施するためのアイデンティティーセキュリティ管理の2つに優先して取り組むべきだとしている。

　同調査で、過去12カ月間にランサムウェア攻撃の被害を3〜5回受けたと回答した人の割合は、全体の11％に対して日本は17％。過去1〜2年間にサプライチェーン攻撃を受けて、データ損失や企業の重要資産への不正アクセスの被害を受けたことがあると回答した割合は、日本では84％に上り、イスラエル（85％）に次いで高かった。

過去2年以内の、サプライチェーン攻撃に寄るデータ損失や企業の重要資産への不正アクセス被害の有無（提供：CyberArk）

日本企業の67％が従業員による情報漏えいを補償するサイバー保険に加入

　ランサムウェアやサプライチェーン攻撃の被害を受けても、利害関係者や規制当局に報告するとは限らないと回答した割合は、全体の63％に対して日本は70％に上った。CyberArkは、企業がサイバー攻撃を想定して迅速な対応や報告プロセスに関する取り決めを事前に計画する重要性を示唆する結果だとしている。

　一方、標的型攻撃へのセキュリティ強化の取り組みとして、「多要素認証（MFA）」を挙げた割合は全体の47％。これは、OSのアップデートやパッチ適用の48％に次いで高かった。MFAについて「リモートアクセスの際にMFAを使用することが効果的」だと回答した割合は、日本とイスラエル以外の国では40％を超えていた。日本ではMFAの優先度が低く、OSのアップデートやパッチの適用に次いで、CIEM（Cloud Infrastructure and Entitlements Management：クラウドインフラ資格管理）が重視されていた。

　日本企業では内部不正による情報漏えいに対する危機意識が高いことも分かった。サイバー攻撃のリスクとして「資格情報への不正アクセス」を挙げた人が51％を占めた。また、不正アクセスによる初期侵入後の被害を最小限に抑えるには「資格情報の保護が重要」と考える企業は43％。従業員による情報漏えいを補償するサイバー保険に加入している企業が67％に上った。日本以外の国では、外部からのハッキングを受けた際の情報漏えいに対する被害補償を受けている割合は57％だった。