情報セキュリティ分科会は、2023年に引き続き、トレンドマイクロ株式会社と共同で「セキュリティ9月に実施しました。今回も一昨年同様サイバー攻撃の被害を経験した企業の実態調査を行ってNISTの「サイバーセキュリティフレームワーク(以降CSF)2.0」によるセキュリティ成熟度を判定し、傾向を分析しています。また、昨今の生成AIの爆発的な普及によってサイバーセキュリティを取り巻く状況も変化しつつあることを踏まえて、同時に「生成AIとセキュリティ取り組み状況、リスク認識や今後の利活用動向についても調査しました。いずれの調査も、2024年12月にトレンドマイクロ社からプレスリリースと共にエグゼクティブサマリーが公開され、同時にCIOLoungeのホームページにもリンクを載せています。前回の調査において、「セキュリティ成熟度」とサイバー攻撃被害の相関関係が明らかになり、指標としての有用性が示されました。そこで、今回は、定点観測として同様の調査を実施し、セキュリティ成熟度と被害実態の変化をまとめ、自組織のセキュリティ対策に役立てていただくことを目的としました。また、今回は生成AIについても意識調査を行い、サイバーセキュリティにおける生成AIのリスク認識と利活用状況を今後の施策の参考としていただくことも目的にしています。【セキュリティ成熟度とは】セキュリティ成熟度の測定にあたっては、NISTの成熟度と被害の実態調査2024」を2024年に関する意識調査」を実施し、生成AIに関する 43210提唱するCSF2.0を採用しています。前回準拠したCSF1.1から、新たに「統治(ガバナンス)」の項目が加わっています。(表1) これに伴い、設問を新たに構成し直しました。調査は表1に示す通り実際にサイバー攻撃を受けた従業員規模500名以上の企業300社に対して2024年9月に実施しました。(表2)(3)「検知までの時間」の改善に向けた取り組みとサイバーセキュリティに対する経営層の一層の関わりが重要になっている(4)生成AIに関しては回答企業の78%が業務利用を許可しており、94%がガイドラインを整備する一方、そのうち27%は教育を実施していない(5)生成AIの利用リスクを98%の企業が認識している一方、生成AIによる外部からのサイバー攻撃リスクの増大を認識しているのは66%に留まる前章で述べた各々の知見に関わる調査結果の詳細は以下の通りです。2023年の調査結果と比較し、今回の調査結果から得られた主な知見は以下の通りです。(1)サイバー攻撃による被害は2023年より深刻化している(2)セキュリティ成熟度に大きな変化はなく、対策が進んでいない。対策の阻害要因としては人的リソースの不足、脅威の高度化・攻撃対象領域の変化が挙げられる●サイバー攻撃による過去3年間の累計被害額、最も被害額が大きかったサイバー攻撃による業務停止時間ともに昨年度調査より増加しました。(表3)●最も被害額が大きかったサイバー攻撃は、「ビジネスメール詐欺」が18%で最多、「ランサムウェア」が13%で次点でした。(図1) また、攻撃手段としては「フィッシングメール」が27%で最多でした。❶調査目的❷調査概要❹調査結果(詳細)(1)サイバー攻撃による被害は2023年より❸調査結果のまとめと得られた知見深刻化している(2)セキュリティ成熟度に大きな変化はなく、対策が進んでいない。対策の阻害要因としては「共同調査」結果報告セキュリティ成熟度と被害の実態調査2024表1:セキュリティ成熟度図1:サイバー攻撃の内訳スコア最も被害が大きかったサイバー攻撃を受けた時点での対策状況正式手順に従って包括的な取り組みが行われており、定期的な改善を図っている会社が定める正式手順に沿って、包括的な取り組みが行われている会社が定める正式手順に沿って、部分的に取り組みが行われている会社が定める正式手順はなく、個人の裁量で取り組んでいる全くできていない機能カテゴリー表2:調査概要組織的文脈、リスクマネジメント戦略、役割/責任/権限、ポリシー、監督、サイバーセキュリティ、サプライチェーンリスクマネジメント統制識別資産管理、リスクアセスメント、改善アイデンティティ営理とアクセス制御、意識向上及びトレーニング、データセキュリティ、プラットフォームセキュリティ、技術インフラのレジリエンス防御検知継続的モニタリング、有害イベントの分析対応インシデントマネジメント、インシデント分析、インシデント対応の報告とコミュニケーション、インシデント経減インシデント復旧計画の実行、インシデント復旧のコミュニケーション復旧表3:サイバー攻撃による被害※1:過去3年間のサイバー攻撃によって発生した被害への対応コストの合計金額を被害額とし、累計被害額は、被害額が生じた回答者を母数(2024年:n=145、2023年:n=141)として平均を算出した。※2:業務停止時間は、最も被害額が大きかったサイバー攻撃について業務停止から再開までにかかった時間を質問し、回答のレンジに一定期間をあてはめ平均を算出した。母数は業務停止時間が発生しその日数を回答した回答者 (2024年:n=157、2023年:n=134)。過去3年間のサイバー攻撃による累計被害額(※1)最も被害額が大きかったサイバー攻撃による業務停止時間(※2)2024年9月調査1.71億円1.25億円平均6.1日平均4.8日2023年6月調査活動紹介15
元のページ ../index.html#16