トレンドマイクロとCIO Loungeは12月10日、過去3年間でサイバー攻撃を経験している国内の法人組織(従業員500名以上)の経営者、セキュリティやリスクマネジメントの責任者(部長以上)300人を対象に実施した「セキュリティ成熟度と被害の実態調査 2024」の結果を発表した。その概要は以下のとおり。
●過去3年間のサイバー攻撃の経験有無と被害コストが最も大きかったサイバー攻撃
過去3年間におけるサイバー攻撃の経験有無では(n=556)、経験したと回答した割合は70.9%だった。サイバー攻撃を経験した回答者のうち、経営者、セキュリティやリスクマネジメントの責任者(n=300)に対して被害コストが最も大きかったサイバー攻撃を聞いたところ、ビジネスメール詐欺が18.3%で最多、次がランサムウェア攻撃で13.0%だった。また、全体では61.6%がサイバー攻撃によって何らかの実被害を受けている。
●過去3年間のサイバー攻撃の累計被害額と、ランサムウェア被害を経験した法人組織の累計被害額
過去3年間でのサイバー攻撃の被害を経験した法人組織の累計被害額は平均約1億7100万円。2023年時点の調査での同被害額は平均約1億2500万円で、前回よりも約4600万円増。ランサムウェア攻撃では、一度でも被害を経験した法人組織の累計被害額は平均2億2000万円。2023年時点の調査での同被害額は平均1億7600万円で、前回より約4400万円増えている。
●サイバー攻撃およびランサムウェア攻撃による業務停止期間
過去3年間で最も対応コストが大きかったサイバー攻撃からの復旧に要した時間は、平均で6.1日。また、最も対応コストが大きかったサイバー攻撃がランサムウェア攻撃の場合、復旧に要した時間は平均で10.2日となっている。
●サイバー攻撃対策の強化を重要視しているが、阻害要因により33.3%の組織が実施できず
サイバー攻撃のインデント対応後に強化が必要だと感じた機能について、「NIST サイバーセキュリティフレームワーク 2.0」の各機能の中では、防御が42.0%で最多。さらに、強化が不足していた理由については「対策事項として重要視していたが、阻害要因があった」が33.3%、「対策事項として重要視していたが、他機能を優先していた」が32.7%と、一定以上の割合が対策事項を重要視していたにも関わらず、それを強化できなかった事情があった。
関連リンク