9割の組織にサイバー被害があるものの、5割以上は「業務コスト」を把握していない――Tenableの調査:脆弱性を調べる人材が不足
Tenable Network Security Japanが発表した「業務遂行上のサイバーリスク計測と管理に関する報告書」によると、過去24カ月間で1回以上のサイバー被害に遭っている組織の割合は全世界で91%に上った。しかし、適切な業務コストの見積もりができておらず、判断基準が不足していることが分かった。
Tenable Network Security Japanは2019年4月10日、「業務遂行上のサイバーリスク計測と管理に関する報告書」を国内で発表した。
日本を含む6カ国のITセキュリティ担当者を対象とした報告書によると、過去24カ月間で、1回以上のサイバー被害に遭った組織の割合は91%、サイバー被害による業務混乱を2回以上経験した割合は60%に上った。
Tenableではサイバー被害を、情報流出や深刻な業務、工場、機器稼働の混乱や中断と定義している。こうしたサイバー被害のうち、過去24カ月間に発生した攻撃で最も多かったのは「マルウェアによって引き起こされた事業運営の大幅な中断」(48%の組織が経験:複数回答)だった。これに「サードパーティーによる機密情報の誤用もしくは他のサードパーティーとの共有」(同41%)や「大幅なダウンタイムを引き起こすサイバー攻撃」(同35%)が続いた。
これに対して2019年に最も不安だと思う最大の脅威は過去24カ月とは順位が異なっていた。「サードパーティーによる機密情報の誤用もしくは他のサードパーティーとの共有」(同64%)が23ポイント増えて首位。これに「IoT(Internet of Things)もしくはOT(Operational Technology)資産への攻撃」(同56%、33%ポイント増)や「マルウェアによって引き起こされた事業運営の大幅な中断」(同54%)が続いた。
サイバーリスクの業務コストを把握できない理由は?
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
サイバーセキュリティ経営の実践に向けたプラクティス集、IPAが公開
経済産業省とIPAは、サイバー攻撃に対する備えの強化に向けて、国内での実践事例を基にしたプラクティス集を公開した。2017年11月に策定した「サイバーセキュリティ経営ガイドライン Ver.2.0」を実践する際に参考となる考え方や実践事例を載せた。
防御だけでは不十分、先手を打つ方策へ移行せよ――CompTIAのセキュリティレポート
CompTIAは米国企業の最新セキュリティトレンドに関するレポートを発表した。サイバーセキュリティでは、完全な防御を目的とした取り組みはもはや意味を成さなくなり、米国企業の目は先手を打つ方法に向いているという。
組織全体のリスクを考えられる「セキュリティ人材」の育て方
筆者の経験を基に、本当に必要なセキュリティ教育について考える本連載。第2回のテーマは「組織全体のセキュリティ対策を考えられる人の育て方」です。継続的なセキュリティ対策の実施に不可欠な人材をどうすれば育成できるのかについて考えます。