攻撃経路で最も多かったものは「電子メール」 KPMGコンサルティングが2023年のセキュリティを振り返る：攻撃の被害額が「1億円以上」の企業が増加

KPMGコンサルティングは「サイバーセキュリティサーベイ2023」を発表した。本社を直接攻撃するのではなく、サプライチェーンを狙った攻撃が増えていることが分かった。

[＠IT]

　KPMGコンサルティングは2024年2月26日、「サイバーセキュリティサーベイ2023」を発表した。これは、サイバーセキュリティに関する実態調査の結果をまとめたもので、国内の上場企業と売上高400億円以上の未上場企業を対象に実施した。

AI（人工知能）リスク管理の整備が遅れている

　サイバー攻撃の実態を見ると「過去1年間にサイバー攻撃で何らかの業務上の被害があった」と回答した企業の割合は11.6％。サイバーインシデントによる被害額が「1億円以上」と回答した企業は、前回調査（2022年）の1.2％から6.7％に、「1000万〜1億円未満」も14.9％から23.3％に大幅に増えていた。

サイバーインシデントの合計被害額（提供：KPMGコンサルティング）

　サイバー攻撃の侵入経路については、本社システムへの直接的な攻撃、侵入が18.5％だったのに対して、子会社や委託先のシステムを経由した攻撃は41.5％。KPMGコンサルティングは「サプライチェーン全体でのセキュリティ強化が不可欠だ」と指摘している。

サイバー攻撃の侵入経路（提供：KPMGコンサルティング）

　未然に防いだ攻撃を含めて制御システムへのサイバー攻撃の経路で最も多かったものは「電子メール」で、前回（2022年）調査の16.9％から21.4％に増えた。これに対して「マルウェア感染したリムーバブルメディア」は、前回の21.3％から6.0％に減った。この点についてKPMGコンサルティングは「他のシステムとのネットワーク接続が増加しており、ネットワークを経由した攻撃の可能性が高まっている」と分析している。

サイバー攻撃の攻撃経路（提供：KPMGコンサルティング）

　AI導入とそれに関するリスク管理を見ると、71.4％の企業が「導入済み／導入計画あり」と回答した。AIの導入を検討している業務内容の上位は、「質問、問い合わせ対応の補助」「データ分析」などが挙がった。AIに関するリスクでは、「プライバシー侵害」「アウトプットの正確性」が多く、約6割が「懸念している（非常に懸念している、少し懸念している）」と回答した。一方で、AIリスクを管理する組織やルール、プロセスについて「整備済み」と回答した企業は4.3％に過ぎず、AIリスク管理の整備が遅れている状況が明らかになった。

AI導入に関するリスク（提供：KPMGコンサルティング）