攻撃経路で最も多かったものは「電子メール」 KPMGコンサルティングが2023年のセキュリティを振り返る:攻撃の被害額が「1億円以上」の企業が増加
KPMGコンサルティングは「サイバーセキュリティサーベイ2023」を発表した。本社を直接攻撃するのではなく、サプライチェーンを狙った攻撃が増えていることが分かった。
KPMGコンサルティングは2024年2月26日、「サイバーセキュリティサーベイ2023」を発表した。これは、サイバーセキュリティに関する実態調査の結果をまとめたもので、国内の上場企業と売上高400億円以上の未上場企業を対象に実施した。
AI(人工知能)リスク管理の整備が遅れている
サイバー攻撃の実態を見ると「過去1年間にサイバー攻撃で何らかの業務上の被害があった」と回答した企業の割合は11.6%。サイバーインシデントによる被害額が「1億円以上」と回答した企業は、前回調査(2022年)の1.2%から6.7%に、「1000万〜1億円未満」も14.9%から23.3%に大幅に増えていた。
サイバー攻撃の侵入経路については、本社システムへの直接的な攻撃、侵入が18.5%だったのに対して、子会社や委託先のシステムを経由した攻撃は41.5%。KPMGコンサルティングは「サプライチェーン全体でのセキュリティ強化が不可欠だ」と指摘している。
未然に防いだ攻撃を含めて制御システムへのサイバー攻撃の経路で最も多かったものは「電子メール」で、前回(2022年)調査の16.9%から21.4%に増えた。これに対して「マルウェア感染したリムーバブルメディア」は、前回の21.3%から6.0%に減った。この点についてKPMGコンサルティングは「他のシステムとのネットワーク接続が増加しており、ネットワークを経由した攻撃の可能性が高まっている」と分析している。
AI導入とそれに関するリスク管理を見ると、71.4%の企業が「導入済み/導入計画あり」と回答した。AIの導入を検討している業務内容の上位は、「質問、問い合わせ対応の補助」「データ分析」などが挙がった。AIに関するリスクでは、「プライバシー侵害」「アウトプットの正確性」が多く、約6割が「懸念している(非常に懸念している、少し懸念している)」と回答した。一方で、AIリスクを管理する組織やルール、プロセスについて「整備済み」と回答した企業は4.3%に過ぎず、AIリスク管理の整備が遅れている状況が明らかになった。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
「プロンプトインジェクション」「ジェイルブレイク」など5項目を診断 生成AI診断サービスをラックが提供開始
ラックは、生成AIシステムのセキュリティを強化するサービス「生成AI活用システム リスク診断」の提供を開始した。生成AIを使ったシステムに特有の脆弱性が含まれていないかどうかを評価し、改善点をレポートする。
Google、国連サイバー犯罪条約は「サイバーセキュリティの取り組みを脅かす」と主張
Googleは、国連加盟国が締結に向けて議論している「国連サイバー犯罪条約」について、サイバーセキュリティを脅かす可能性があると公式ブログで主張した。サイバーセキュリティ研究者やジャーナリストなどが罰せられる可能性があるとしている。
「クラウド活用は万能薬ではない」――2つのクラウド移行事例で起きたセキュリティ課題とその原因
セキュリティに対する不安からクラウド移行に踏み切れない企業や、クラウド移行したもののクラウドセキュリティに依然として懸念がある企業に向けて、クラウドで実現するセキュリティ対策を事例とともに解説する本連載。今回は、セキュリティに関する課題が生じた2つのクラウド移行事例を解説します。