国内企業への実態調査で見えてきたサイバー復旧の現状

サイバー脅威をどうとらえているのか

専門家が斬る日本の意識と

対策の現状は?

データで明らかになった
国内サイバーセキュリティー対策の現在地

現在も増え続けている、ランサムウエアなどを利用したサイバー攻撃。攻撃者側はかつてなかった程に組織化・ビジネス化しており、AIに代表される技術的進化や近年の地政学的なリスクも攻撃増加や高度化の要因になっている。もはやサイバー攻撃への対策は、重要な経営テーマとなったといえるだろう。

このような状況を受け、デル・テクノロジーズは日本企業を対象とした「サイバー復旧調査 2023」というアンケート調査を実施した。サイバー攻撃を受けたことがあるか、それに対してどのような備えをしているのか、セキュリティー対策予算はIT全体予算のどの程度の割合かなど、多岐にわたる設問に対する回答を得た。

この調査によって、セキュリティー専門組織を設置している企業の大幅な増加が見られる一方、実際にサイバー攻撃や被害に遭遇したことがある企業の増加は継続していることも判明。セキュリティー対策予算の掛け方の傾向なども浮き彫りになった。さらに注目したいのが、セキュリティー脅威に対する認識や危機感だ。実は経営層と現場との間で、大きな意識のギャップが存在することが明らかになった。

このようなデータに基づく実態にどんな傾向や落とし穴があるのか。サイバー攻撃とその復旧に向け、経営層はどのような戦略や対策を考えておくべきなのか。サイバーセキュリティー対策のエキスパート2人が対談を行った。

サイバー被害の損失額は1件あたり数億円規模に?

SBテクノロジー株式会社
プリンシパルセキュリティリサーチャー
辻 伸弘氏

大阪府出身。SI企業にてセキュリティー技術者として、セキュリティー製品の構築や、情報システムの弱点を洗い出し修正方法を助言するペネトレーションテスト(侵入テスト)業務に従事。民間企業や官公庁問わず多くの診断実績を持つ。2014年にSBテクノロジーに転職し、診断事業に携わりながら情報を対外発信するエバンジェリストとして活動。現在は、セキュリティーリサーチャーとして国内外のサイバーセキュリティーにかかわる動向を調査・分析し、脅威情報の発信を行う。そのほか、イベントや勉強会での講演、テレビ・新聞などメディアへの出演、記事や書籍の執筆など、セキュリティーに関する情報を発信し、普及・啓発活動に取り組む。

西頼 デル・テクノロジーズはこれまでも、DXや働く環境、サステナビリティなどへの取り組みなど様々な企業の実態や意識を継続的にリサーチしています。今回、その一環でサイバーセキュリティー対策、特に事後対策としての「サイバー復旧」に焦点を当てた調査を実施したのですが、個人的にも興味深い結果になったこともあり、ぜひこの分野のエキスパートでいらっしゃる辻さんのご意見を聞かせてください。

SBテクノロジー株式会社
プリンシパルセキュリティリサーチャー
辻 伸弘氏

大阪府出身。SI企業にてセキュリティー技術者として、セキュリティー製品の構築や、情報システムの弱点を洗い出し修正方法を助言するペネトレーションテスト(侵入テスト)業務に従事。民間企業や官公庁問わず多くの診断実績を持つ。2014年にSBテクノロジーに転職し、診断事業に携わりながら情報を対外発信するエバンジェリストとして活動。現在は、セキュリティーリサーチャーとして国内外のサイバーセキュリティーにかかわる動向を調査・分析し、脅威情報の発信を行う。そのほか、イベントや勉強会での講演、テレビ・新聞などメディアへの出演、記事や書籍の執筆など、セキュリティーに関する情報を発信し、普及・啓発活動に取り組む。

 最初に注目したのが、思っていた以上に「セキュリティー専門部署を設置している企業が多い」という点です。実際に最近では、CSIRT協議会への加盟数も急増しています。

西頼 調査結果では、CSIRTがあるが42%、CSIRT以外のセキュリティー専門部署があるが21%で、合計6割以上がなんらかのセキュリティー専門部署を持っているようですね。

 この6割という数字は、私の実感とも合致しています。逆に気になったのは、4割弱は専門部署がないということです。また、実際にCSIRTを設置していても、とりあえず専門部署はつくりました、日本シーサート協議会の会員になりましたという、名目的なものも少なくないと思います。それでも数が増えているのは、いい傾向だと思います。

デル・テクノロジーズ株式会社
DPS事業本部 事業推進担当部長
シニア ビジネス ディベロップメント マネージャー
西頼 大樹氏

デル・テクノロジーズのデータ保護・サイバー復旧ソリューションの専門集団にて、マーケティング/広報・デマンドジェネレーション活動の企画・立案業務に従事しつつ、各種イベントにてデータ保護に関する講演を行う。

西頼 ここでもう1つ注目していただきたいのが、事業継続計画(BCP)の中に「サイバー復旧」対策を入れていますか、という質問への回答です。昨今の攻撃は未然の防御・検知が極めて困難なほど巧妙で、かつ事業を止めてしまう危険性が極めて高くなっているので、これは重要なポイントだと考えています。

 これに対して約7割が考慮しているというのも、いい傾向ですね。そもそも事業継続を脅かすものとしては災害や不祥事などもありますが、これらと同列にサイバー被害を考えるというのは、今の時代においては当たり前ととらえてほしいものです。

西頼 一方で、IT予算全体におけるサイバーセキュリティー対策予算割合は5~9%の割合が最多層となっており、おそらく10%前後がボリュームゾーンだと考えられます。

 10%前後というのは、肌感覚としてはいい方だと思います。日本企業はセキュリティー対策に対してあまりお金を使わないというイメージがありますが、実際に予算が割かれているというのは、被害に遭った会社が増えているからではないでしょうか。

西頼 ここでぜひ多くの方に知っていただきたいのが、サイバー攻撃などでダウンタイムが発生した際に、どの程度の時間で復旧できるのか、という点です。実はサイバー攻撃を受けた結果、サービス停止を経験したことがある企業のうち、6割以上は1日以内での復旧ができておらず、2割は1週間以上もかかっているのです。見方によっては、サイバー被害による業務停止で、1回あたり数億円規模の損失額が発生しかねないとも試算可能です(※)。

 それは実際の売上額と業務停止時間から算出した金額ですね。

西頼 そうです。

 ほかにも調査に要した人件費や再発防止策の導入なども含めれば、さらに大きな金額になりそうです。

西頼 おっしゃる通りで、結果数億円では済まない可能性もあるわけですね。

※注:経済産業省 『2022 年経済産業省企業活動基本調査確報(2021 年度実績)』 「1.概要 - 図表1-1 主要数値」 内、「総合計」における 「売上高」 数値(7,456,906億円)÷ 「企業数」 数値(34,056社)÷ 365日 = 約6千万円/1日 に基づく試算
https://www.meti.go.jp/statistics/tyo/kikatu/result-2.html

経営層の方が甘いセキュリティー脅威に対する認識

 そう考えると、このような被害想定をもっと意識して、先程の10%程度ではなく、20%くらいをセキュリティー対策の原資にしてほしい、という思いが出てきますね。

西頼 実はその意識についても質問を行っています。ここに上げた6つの設問のうち、上の3つは「脅威に対して危機感があるか」、下の3つは「脅威を甘く見ていないか」を問う内容になっています。結果はご覧のとおりなのですが、このうち青く塗られている部分は、個人的には安心な回答だと思っているところです。

青い部分は好ましい回答、オレンジ部分は認識が甘い回答に分類できる。オレンジ部分の回答の割合が多いのは、まだ課題が大きな点だといえる

 驚くのは「ランサムウエア攻撃の影響を受けることはない」に「あてはまる」という回答があることですね。どうしてこのような回答ができるのか、理解に苦しみます。

西頼 そうなんです。このオレンジ色の部分が2~3%程度未満なら「ああそうか」で済むのですが、意外と大きな数字になっています。特に「身代金を支払えば二度と攻撃を受けることはない」に「あてはまる」と回答した割合がこれだけあるというのは、かなり問題だと感じています。

 もう支払う気満々なんですね。

西頼 さらに「分からない」という回答も目立っています。どの設問に対しても、3割程度が「分からない」と回答しています。

 分からないのが一番良くないですね。

西頼 これらの回答をさらに深掘りしていった結果、経営層と部長クラス以下の現場従業員とで、大きく異なる傾向が見られることも分かっています。まず先程のオレンジの部分ですが、ここで「あてはまる」と回答した割合は、経営層の方が現場従業員の2倍以上になっています。つまり一定の経営層の方は、まだまだセキュリティー脅威に対する認識が薄いことが浮き彫りになっています。

特にセキュリティー脅威への認識は、経営層の方が現場よりも甘いことが分かる

 私から見れば予想の範囲内です。例えばパスワード1つ取ってみても、「パスワードの弱いアカウントはだいたい偉い人」という一般法則があります。実際に侵入テストを実施する場合には、対象システムのパスワードをすべて抜き取り弱いパスワードを指摘するのですが、やはり役職が上の人ほどパスワードが脆弱であるという傾向が見られます。しかも困ったことに、このような人ほど権限が高くアクセスできる範囲が広いのです。

西頼 悪用された時には広い範囲に影響が及んでしまうわけですね。

 これは現場の人たちが、会社の脅威になることに対してどう対処すべきなのか、上層部に対して十分に対話できていない現状も関係していると思います。上層部も「現場が口を開くと金のかかることばかり言う」「訳の分からないカタカナばかり並べてくる」といった気持ちがあると思います。組織全体で同じ目的に向かって走っていくべきなのに、同じ組織の中でドンパチやっている。本当の敵は外にいるのに、それに気付いていないわけです。

経営層と現場のギャップを埋めるために必要なこと

西頼 危機感が高くてもそれだけでは不十分なのですね。

 そうです。対話や歩み寄りが足りないから、このようなギャップが生じてしまうのです。そもそも意識のギャップというのは、相互理解の欠如から生まれるわけですから。

西頼 その一方で「分からない」と回答した割合は、むしろ現場の方が多くなっています。これもコミュニケーション不足に要因があるのかもしれませんね。

 もう1つ考えられるのは、ベンダーに丸投げしているから分からない、ということです。自分の手を動かしたわけではないので、自信を持って回答できないというのはあるのかも知れません。

西頼 なるほど。では、このような経営層と現場のギャップを解消するには、具体的にどうしたらいいと思いますか。

 例えばサイバー被害後のデータ復旧のためのバックアップ製品を導入した場合に、それによってどのような効果があったのか、経営会議のようなところでCSIRTや情報システム部の人たちが説明する、といったことが考えられると思います。実際にそういうことをしている会社もあり、そこで説明できる資料を用意できるかどうかというのが、けっこう大事なポイントだと考えています。また経営会議で少し時間を取ってもらい、セキュリティー部門の責任者が最近の攻撃事例などをインプットする、といったことも行うべきだと思います。

西頼 そのような場をどこかでつくらなければいけないわけですね。私はよくお客様に「ベンダーをうまく使ってください」という話をしています。エグゼクティブと現場の方、両者が参加する会議をベンダーが設置し、双方からベンダーに向かって思うところを言ってくださいと。そうすることで結果的に、双方向で思いが伝わりやすくなります。

 それはそのとおりだと思います。私の場合は「専門家の立場でうちの偉い人にガツンと言ってください」といわれるケースが多いですね。

サイバー復旧でより重視すべき「テストと演習」

西頼 この調査の重要テーマになっているのが「サイバー復旧」なのですが、これに関するコメントもいただきたいと思います。サイバー復旧は、「サイバーレジリエンス」の一部として、広義では実際に被害を受けてダウンした状態から「これなら大丈夫」といえる状態まで戻すために必要な力、根幹にあるのは攻撃により破壊・暗号化されたデータを復旧可能な能力、と定義されている分野です。

その認知度は3分の2に上っており、IT予算全体に占めるセキュリティー予算の割合とサイバー復旧予算の割合をクロス集計すると、セキュリティー予算の割合が多い企業ほどサイバー復旧にもしっかり予算をかけていることが分かりました。その一方でセキュリティー予算の割合にかかわらず、3割以上の企業がサイバー復旧に「投資していない」ことも判明しています。

認知度は約3分の2と高いものの、サイバー復旧に「投資していない」という回答の多さが目立つ

 表にするときれいな形になっていますが、よく見ると数字が両極端に分かれている、不思議な構図になっていますね。言葉としては認知していても、その重要性に対する認識がまだ低いのかもしれません。実際にサイバー攻撃関連のニュースでも、どう防止するかに焦点を当てていることが多く、復旧についての議論が少ないように思います。復旧が早かった事案に関しては、なぜ短時間で戻せたのかをインタビューしてもいいのではないでしょうか。

西頼 これに加えて、サイバーBCPの取り組みとして当てはまるものを複数回答してもらう設問も用意していたのですが、ここでは「従業員教育と訓練」「セキュリティーポリシーの実施」「バックアップ戦略の策定」を挙げる回答が多く、いずれも50%を超えています。

 けっこう高いですね。

西頼 ここは皆さんの理解度の高さが顕著に現れていて、良かったなと感じています。ただし「テストと演習」が44.8%で6位になったのは、もっと上に来てほしかったなと思います。

 そこは平時の備えとして、いちばん大事なところですからね。実際にセミナーで「バックアップをやっていますか」という質問をすると99%の方が手を挙げますが、そのバックアップからデータを戻すテストをしているのかを聞くと、3割いるかどうかまで下がります。さらに、復旧時のマニュアルを最新の状態に保てているかを聞くと、挙手する人は1割程度になってしまいます。

西頼 バックアップを取っていても、実際に戻せる自信がない、という会社は多そうですね。

 テストと演習に関しては、何もぜんぶ社内だけでやる必要はありません。実際に短時間で復旧できた事案でも、導入ベンダーと一緒にテストや演習を行っているケースが少なくないのです。外部の人を使ったほうが早くて安いということもあるので、このような要望を受けてくれるベンダーなのかどうかを、選定時の見極めポイントにするという考え方もあると思います。

西頼 最後に、経営層に対するアドバイスはありますか。

 経営層はセキュリティーの専門家ではないので、自分で勉強して理解しようと考える必要はないと思います。ただし分からないのであれば、分かる人に対してきちんと敬意をもって接するべきでしょう。もちろん経営層と現場の優先順位は違うので、そのギャップを埋めるための対話が必要です。その歩み寄りをぜひ経営層からも行ってほしいですね。

また、セキュリティー対策やサイバー復旧の予算も、上を見たらきりがありませんが、まだまだ少ないと思います。また「分からない」という人を減らすことも重要です。ただし「分かる」と「できる」は違うので、ぜひ「できる」になって欲しいですね。

西頼 これからも辻さんのようなエキスパートのご意見を伺いながら、啓蒙を続けていかなければなりませんね。本日はありがとうございました。

サイバー復旧を支えるソリューションも重要

「サイバー攻撃を受けることはない」「攻撃を完全に防げる」という時代は、既にはるか以前に終わりを告げている。ここで重要なのが、被害を受けたデータを迅速かつ確実に復旧させ、被害を最小化することである。そのために欠かせないのが、対談の後半で出てきた「サイバー復旧」の実現であり、ここで求められる要件が「データ防御(Immutability)」「データ隔離(Isolation)」「データ衛生(Intelligence)」の「3I」だ。

デル・テクノロジーズはこれらの条件を満たすソリューションを、複数の形で提供。その1つが「Dell PowerProtect Cyber Recovery」だ。これはオンプレミスやパブリッククラウドのIaaS環境で実装可能なソリューションであり、重要データの隔離、不審なアクティビティの特定、迅速なデータリカバリーを実現している。またクラウドサービス(SaaS)型で提供するバックアップソリューション「Dell APEX Backup Services」にも、「3I」の要素を追加可能なランサムウエア対策オプションサービスをラインアップ。企業のデジタル志向・戦略に合わせ、「サイバー復旧」に対して多彩な選択肢を提供可能なのも同社の特徴だ。

対談の最後で指摘されたように、「分かる」こと以上に重要なのが「できる」ことだ。このようなソリューションを積極的に活用することで、ぜひ効果的なサイバー復旧を実現してほしい。

関連記事

お問い合わせ

デル・テクノロジーズ株式会社

WEBサイトはこちら