この調査結果を見て、企業のサイバーレジリエンスに対する自己評価と現実のギャップが非常に大きいことに驚きを感じます。
79%の企業が身代金を支払うと回答している一方で、76%の企業が自社の復旧能力に自信を持っているというのは矛盾しているように思われます。
記事の説明
セキュリティ企業である米Cohesityの日本法人Cohesity Japanが、サイバー攻撃からの復旧に関するアンケート調査の結果を発表しました。
この調査は、企業のIT・セキュリティ責任者302人を対象に行われました。
調査によると、身代金要求型攻撃を受けた際に79%の企業が「データの復旧とビジネスプロセスの復元、またはその迅速化のために身代金を支払う」と回答しています。
一方で、12%の企業は「支払わない」と答え、9%は「身代金の金額によっては支払うかもしれない」と答えました。
身代金を支払うと答えた企業に支払う金額を尋ねたところ、77%が「100万ドル(約1億5880万円)以上」、24%が「500万ドル(約7億7000万円)以上」を支払ってもよいと回答しました。
また、過去1年間に実際に身代金を支払ったことがある企業は70%に上り、その支払金額は多岐にわたります。
具体的には、36%が1~24万9999ドル(約1~3970万円)、26%が25万~50万ドル(約3970万~7940万円)、20%が50万~99万9999ドル(約7940万~1億5880万円)、3%が100万~299万9999ドル(約1億5880万~4億7650万円)、1%が300万~999万9999ドル(約4億7650万~約15億8880万円)を支払ったと答えました。
一方で、自社の復旧能力(サイバーレジリエンス)やサイバー攻撃への対処能力に自信があると答えた企業は76%に達しました。
さらに、85%の企業が「身代金を支払わないポリシー」を持っていると答えています。
Cohesity Japanは、調査結果について「調査対象企業では、サイバーレジリエンスの能力と成熟度を過大評価しており、その結果、事業や業務継続に大きな支障をきたし、身代金の支払いにつながっている」と指摘しています。
調査は6月27日~7月18日に実施されました。
高村の考え
企業がサイバー攻撃に対する脆弱性を認識し、適切な対策を講じることが急務です。
特に、データのバックアップや復旧手順の確立、そして従業員の教育が重要です。
また、セキュリティポリシーの見直しと実効性のある演習を通じて、実際の攻撃に対する対応能力を高めることが求められます。
身代金を支払わない方針を持つ企業が多いにも関わらず、実際に支払っている企業が多い現状は、緊急時の対応力の欠如を示しています。
これを改善するためには、事前の準備と迅速な対応が鍵となります。
また、身代金の支払いが犯罪組織の資金源となり、更なるサイバー犯罪を助長する可能性があることも考慮し、支払わない方針を徹底するための対策が必要でしょう。
企業は、自社のサイバーレジリエンスを過信せず、現実的な評価と対応を心掛けるべきでしょうね…。