日本は「アタックサーフェスを明確にすること」が苦手 トレンドマイクロがセキュリティの意識調査結果を発表：「明確に定義している企業」の割合は29カ国中、日本は28番目

トレンドマイクロは「法人組織のアタックサーフェス（攻撃対象領域）に関するセキュリティ意識調査」の結果を発表した。それによるとアタックサーフェスを明確に定義している企業は全世界で51.3％、日本は34.6％だった。

[＠IT]

　トレンドマイクロは2022年6月29日、「法人組織のアタックサーフェス（攻撃対象領域）に関するセキュリティ意識調査」の結果を発表した。アタックサーフェスとは、サイバー攻撃を受ける危険性があるハードウェアやソフトウェアのこと。

多様化するアタックサーフェス（提供：トレンドマイクロ）

　テレワークの広がりによるネットワークの分散化やクラウドの活用、IoT（Internet of Things）機器など、企業が新たに採用するデジタル資産は多様化している。だがデジタル資産の多様化は、サイバー攻撃者にとって「攻撃対象が増える」ということだ。トレンドマイクロは「アタックサーフェスの多様化は、企業ネットワークへの侵害起点や侵入を拡大する領域を増やし、侵害経路を複雑化させる要因になっている」と指摘している。

　調査対象は、従業員250人以上の企業に勤めるIT部門や事業部門の意思決定関与者。29カ国（英国、ベルギー、チェコ、オランダ、スペイン、スウェーデン、ノルウェー、フィンランド、デンマーク、フランス、ドイツ、スイス、オーストリア、米国、イタリア、カナダ、台湾、日本、シンガポール、オーストラリア、インド、ポーランド、香港、マレーシア、フィリピン、インドネシア、メキシコ、コロンビア、チリ）で実施した。

「サイバーリスクマネジメントの有効策として認識されていない」

　企業がアタックサーフェスに対する攻撃から資産を守るためには「何が対象になるのか」といった定義をし、適切に防御する必要がある。アタックサーフェスを明確に定義している企業は全世界の平均は51.3％で、日本は34.6％だった。

国別で見た「アタックサーフェスが明確に定義されているかどうか」（提供：トレンドマイクロ）

　トレンドマイクロによると日本は「アタックサーフェスを明確にすること」が困難だと感じている企業が多く、「アタックサーフェスの定義が、サイバーリスクマネジメントの有効策として認識されていない」と分析している。

　「自社のデジタル資産のセキュリティ設定が適切かどうかを定期的にチェックすることと、IT機器利用のルール整備と合わせて、利用実態を調査し管理することが重要だ。デジタル資産が多様化していることから、重要資産を守るためにサイバーリスク評価を実施する必要がある」（トレンドマイクロ）

　ただ、「サイバーリスクの把握や管理は難しい」と考えている企業もある。その理由として「定量化が難しい」あるいは「リソースが少な過ぎる／能力が限られている」と答える企業が多かった。

サイバーリスクの把握や管理が難しい理由（提供：トレンドマイクロ）

　トレンドマイクロは、サイバーリスクの管理や評価を行う上で有効な考え方として、「攻撃シナリオに基づくリスク分析」を挙げた。それは、ランサムウェアやアカウントリスト攻撃など特定の脅威が発生した場合にどこがアタックサーフェスになるかを把握し、各領域の理想の防御体制と現実の防御体制の差を評価して“優先的に対策すべき脆弱（ぜいじゃく）性”を決める手法だ。

　「企業が重要資産を守り、ビジネスを継続するためにも、まずは攻撃対象となり得る領域を明確化し、優先的に対処すべき脆弱性を特定することが重要だ」（トレンドマイクロ）