海の向こうの“セキュリティ”

中規模企業におけるランサムウェアおよびIoTセキュリティに関する実態調査 ほか

中規模企業におけるランサムウェアおよびIoTセキュリティに関する実態調査

 ランサムウェアやいわゆる「IoT機器」のセキュリティ問題にようやく世の中が注目するようになってきた中、米SOCサービス事業者のArctic Wolf Networksは、これらの脅威に関する実態調査の結果を公開しました。この調査は、従業員数200から3000の企業におけるITまたはセキュリティに関する責任者300名に対して行ったもので、回答者の93%は取締役もしくはそれ以上の地位にあり、セキュリティに関する予算を決定する権限等を有しています。なお、今回の調査対象の企業について、報告書では「中小企業(SMB:small-to-mid-sized businesses)」または「mid-market companies」と表現していますが、日本の中小企業庁による「中小企業の定義」に比べると規模は大きめです。

 調査結果の主要なポイントは以下のようになっています。

  • 80%がゼロデイ攻撃の脅威から守るための製品を導入していない
  • 62%がログ解析を実施していない
  • 75%が第三者から得られる脅威情報を利用していない
  • 69%が正式なインシデント対応計画を有していない
  • 45%がランサムウェア被害を受ければ身代金を支払うだろうと回答
  • 100%が「IoT機器」を使用している
  • 運送会社は29%がIoT機器に対する攻撃を受けており、業種別では最多

 その一方で、回答者の意識として、ランサムウェアに対して懸念しているとしているのは92%、また、IoTのセキュリティに対しては73%が懸念していると回答しています。つまり全体として見ると「懸念はしているが対策は不十分」というわけです。

 次にランサムウェア攻撃を受けたことがある割合を業種や企業規模(従業員数)ごとにまとめたのが以下の図です。どの業種、どの企業規模でも(差はあるものの)ランサムウェア攻撃を受けていることが分かります。

(「Ransomware of Things: When Ransomware and IoT Collide」より)

 また、IoT機器に対する攻撃を受けたことがある割合を業種や企業規模ごとにまとめたのが以下の図です。

(「Ransomware of Things: When Ransomware and IoT Collide」より)

 SOC事業者による調査ということで、SOCの必要性などについて調べた結果も掲載されています。

(「Ransomware of Things: When Ransomware and IoT Collide」より)

 上記の図が示すように88%がSOCの有用性を認識しています。その一方で、SOCの構築には平均して140万米ドルがかかり、59%がSOCを「too expensive」であると回答しています。この認識については業種ごとの違いや企業規模ごとの違いも知りたいところですが、残念ながら調査報告書には掲載されていません。

 今回の調査を実施したのはいわゆるセキュリティベンダーなので、報告書の結論としては当然のことながら「中小企業のセキュリティ対策は遅れている、だからSOCサービスを採用するなど、もっと対策を進めるべき」と言いたい意図が見えています。それでも、セキュリティ対策に十分な予算を確保することが大企業に比べて一般的に難しいとされる規模の企業における被害や対策の実態には、中小企業が多い日本の今後を考える上で役に立つ情報が含まれていることは確かです。例えば、攻撃の対象は大企業だけではないという当たり前のことも、今回の調査結果を使えばより説得力を持って啓発することができるでしょう。

 しかし、今回の調査結果を日本の同程度の規模の企業とそのまま比較するのは必ずしも適切とは言えません。あくまで「参考情報」としてとらえるべきでしょう。

米国の小規模企業のオーナーの危機意識

 米保険金融企業のNationwideは、米国の従業員数300未満の企業1069社のオーナーに対してサイバー攻撃を含む3つの脅威に対する意識調査を行った結果を、同社のブログで公開しました。調査は今年の5月にオンラインで20分程度の長さで実施されました。

 なお、調査対象の企業をNationwideは「小規模企業(small business)」と表現していますが、日本の中小企業庁による定義と照らし合わせると、小企業だけでなく、中小企業に分類される規模の企業も含まれています。

 調査結果は以下の通り。

1)サイバー攻撃
 機密情報を守るためには米連邦小企業庁(U.S. Small Business Administration、以降SBAと略)の推奨どおりに対策を実施することが重要であると認識しているのは83%に及んでいるが、実際に行えていると回答したのは50%のみ。

2)自然災害
 SBAの推奨どおりに備えることが重要であると認識しているのは64%だが、実際にできているとしているのは23%のみ。

3)継承
 SBAの推奨どおりに後継者を選ぶことが重要であると認識しているのは65%だが、実際に事業継承計画を用意できているのは37%のみ。

(Nationwide Blogより)

 このように小規模企業のオーナーの多くは脅威に対して備えができておらず、特にサイバー攻撃については「狙われているのは主に大企業であり、小規模企業が狙われることはほとんどない」という迷信(根拠のない願望?)がいまだに根強く残っているのではないかと考えられます。

 その一方で2つの例外があり、ミレニアル世代(1980年代から2000年代初頭に生まれた世代)のオーナーとアフリカ系アメリカ人のオーナーは、他と比べて備えに対する意識が高い傾向が見られているそうです。その理由や背景について具体的な言及はありませんが、この傾向は興味深いです。

山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。