英国の科学・イノベーション・技術省(Department for Science, Innovation and Technology)は4月、『サイバーセキュリティ侵害調査2023 (Cyber security breaches survey 2023)』[1] を公開し、現在のサイバーセキュリティの状況と組織がデジタル資産を保護する上で直面する課題について明らかにした。
調査は、サイバーセキュリティ侵害の背景と文脈を概観し、組織が直面する主要な問題や課題を特定し、これらの課題に対処するための重要な取り組みや推奨事項を概説し、個人や企業がサイバーセキュリティの実践を強化するための貴重な情報を提供している。
この調査は、ビジネスを行うための安全なサイバースペースを作り出すことを目的としている。
英国企業は50秒ごとにサイバー攻撃を受けており、更にサイバー犯罪者は攻撃ツールへのアクセスが容易になっていることがこの調査からも判明している。そのため、企業は常にサイバー犯罪者に狙われるリスクに晒されている。
しかしながら、この調査で特定された別の課題として、企業がサイバーセキュリティに関して意識と理解が不足しており、サイバー空間における脅威からデジタル資産を効果的に保護するために必要な知識とリソースが不足していることも指摘している。
英国における多数の企業や慈善団体がサイバー攻撃の被害に遭っていることを明らかにした前回調査の2018年から、引き続きサイバーセキュリティの侵害が組織や個人にとって重大な脅威であるとしている。データ侵害は依然として大きな懸念材料であり、機密情報の漏洩や、財政的および評判的な損害を引き起こす可能性がある。
しかしながら、サイバーセキュリティの侵害やサイバー攻撃は依然として一般的な脅威ではあるものの、小規模な組織おいてはサイバーセキュリティへの優先度が下がっていることも判明した。
これは、上級管理職がサイバーセキュリティよりも経済的な問題に焦点を当てている可能性があるためと結論付けており、その結果、サイバーセキュリティ侵害やサイバー攻撃の監視やログデータの保存が減っているという状況が見受けられた。
これらのことからも、サイバーセキュリティの課題に対処するために積極的な取り組みの重要性を強調しており、いくつかの推奨事項が示されている。
推奨事項に関しては、組織が一般的なサイバー脅威から自己保護するために従うことができるシンプルで基本的な「サイバー衛生」対策の重要性を強調しており、ここには、更新されたマルウェア保護の使用、クラウドバックアップの維持、パスワードポリシーの実施、管理権限の制限、ファイアウォールの使用などが含まれる。
ただし、これらの対策が零細企業を含む企業において減少していることが示されており、これらの対策に対する再びの注力と投資が必要であることが強調されている。サプライチェーンのサイバーリスクも評価し、適切なセキュリティ対策を実施する必要がある。
ここではもう少し具体的に推奨事項を紹介する。
まず、機密データを保護するための暗号化や強固なサイバーセキュリティポリシーを実施し、データ保護、アクセス制御、パスワード管理、インシデント対応のガイドラインを明確に示した強固なサイバーセキュリティポリシーを策定し、施行する必要がある。
また、多要素認証などの堅牢なサイバーセキュリティ対策の採用を推奨しており、機密システムやデータにアクセスする前にユーザーが複数の認証情報を提供する必要があるとしている。
従業員のトレーニングと意識向上プログラムの実施については、個人がサイバー脅威に関する知識を向上し、良好なサイバーセキュリティの実践を促進することが重要であるとしている。具体的には、従業員がサイバー脅威を特定し対応するための知識とスキルを提供することで、企業は攻撃に対する脆弱性を大幅に低減することができるとしている。このようなプログラムを実施する際には、実践的なセキュリティ意識を促進するために経験的学習とインタラクティブなアプローチを組み込む必要がある。
また、従業員にサイバーセキュリティの重要性と遭遇する可能性のある潜在的なリスクについて「常に」教育し、リマインドする必要があるため、定期的なセキュリティ啓発キャンペーンの実施を推奨している。
サイバーセキュリティ対策とシステムの更新についても、定期的に取り組んでいく必要性を強調している。技術的な進歩に対応し、最新のセキュリティパッチを実装することによって、サイバー空間における脅威への耐性を向上させることができるとしている。
システムの定期的な更新とパッチの適用に関しては、すべてのソフトウェア、ハードウェア、システムが最新のセキュリティパッチとアップデートで更新されていることを確認する必要があり、サイバー攻撃者が悪用する可能性のある既知の脆弱性に対する保護を向上する。
また、定期的なリスクアセスメントを実施し、サイバーリスクや脆弱性を定期的に評価することで、潜在的な脅威や弱点を特定する必要がある。これらのアセスメント実施によって、組織はリスクを軽減するための戦略を開発し、対策を実施できる。
推奨事項は、インシデント発生時の対応プランにもおよんでいる。
自社のシステムやネットワーク内の脆弱性を特定するために定期的なセキュリティ評価と監査を実施し、強固なインシデント対応プランを開発して効果的に対応できるようにすること。更に、適切な機関や関係者に通知することで、侵害の影響を軽減することができるように備えることが推奨されている。
また、企業は外部のサイバーセキュリティ専門家や機関と強力なパートナーシップを築くことも推奨しており、このことによって新たな脅威やベストプラクティスに関する貴重な洞察とガイダンスを提供し、企業が潜在的なサイバー攻撃に対して先行して対策を講じることを助けることができるとしている。
この調査では、英国のサイバーセキュリティの状況を包括的に把握し、重要なトレンドと懸念事項を明らかにしている。現在の組織が直面するいくつかの主要なサイバーセキュリティの問題や課題を明らかにし、サイバーセキュリティ侵害があらゆるセクターのあらゆる企業にとって重大な脅威であることを明確にした。実際、39%の企業が過去1年間にサイバーセキュリティ・インシデントに遭遇したことを報告しており、これらのインシデントによって企業には財務的影響が生じたことを示している。
更に、この調査では組織が直面する特定のサイバーセキュリティの課題にも着目しており、サイバー攻撃の頻度や洗練度の増加、侵害をタイムリーに検出して対応することの難しさなどが述べられている。企業は強力なサイバーセキュリティ文化を構築し、堅牢なセキュリティポリシーを実施するしていかなくてはならない。
このような状況において企業は、良好なサイバー衛生とサイバーセキュリティの優先順位を維持し、リスクを管理することの重要性、特にサプライチェーンに関連するリスクを管理することの重要性を強調している。また、サイバー保険がサイバー攻撃による財務的影響を管理するために重要であることが強調されている。
サイバーリスクに対して、継続的な改善とともに取り組んでいかなくてはならない。
英国のサイバーセキュリティ・サイエンティスト。
サイバーセキュリティ企業の経営者としておよそ20年の経験を持ち、経営に対するサイバーリスクの的確で分かりやすいアドバイスに、日本を代表する企業経営層からの信頼も厚い。近年は技術・法規制・経営の交わる領域においてその知見を発揮している。