最新の記事はこちらから

サイバーセキュリティ

文章最終更新日:2023年09月18日

トレンド概要

インターネット利用が増加し、サイバーセキュリティ対策が不可欠に

サイバーセキュリティとは、内部または外部からの不正アクセスや改ざんなどのサイバー攻撃から、個人、企業、資産(デバイス、アプリケーション、ネットワークなど)を保護するためのあらゆる取り組みを指す。多くの技術に関わる幅広い分野であり、個人、企業、政府機関が対象となる。

事業取引やデータ保存などをオンラインプラットフォームを通じて行うなど、企業や政府機関はネットワークやIoTへの依存をますます強めており、サイバー犯罪者にとっては情報を盗む好機が増えている。そのため、サイバーセキュリティの重要性が飛躍的に高まっている。本レポートでは、企業および政府機関を対象としたサイバーセキュリティに焦点を当てる。個人のユーザーを対象としたサイバーセキュリティについては、トレンド「デジタル個人情報」を参照されたい。

サイバーセキュリティ・ソリューションは、ハードウェア、ソフトウェア、クラウド向けのセキュリティに大別できる。ハードウェア向けセキュリティは、コンピューターシステムに内蔵される物理的なデバイスという形で行う保護のことであり、主にハードウェア向けファイアウォールやプロキシサーバなど、システムをスキャンしたりネットワーク・トラフィックを監視したりする。ソフトウェア向けセキュリティとは、コンピューター、ネットワーク、そのほかウェブ対応のデバイスを保護するソフトウェアである(例:アンチウイルスソフトウェア)。クラウドサービス・ソリューションは、一般的にネットワーク・トラフィックがインライン回線でつながったハードウェア・アプライアンス機器を通過するのと同様に設定されるが、流入トラフィックをクラウド・サービスに転送することで、インフラの負荷をクラウド・プロバイダーに転嫁する。

ハードウェアおよびソフトウェア向けのサイバーセキュリティは、1)情報、2)ネットワーク、3)アプリケーション、4)クラウド、5)重要インフラを保護する5つの主要分野に対応する。デジタル化が進む現在、どの分野のセキュリティ技術も広く普及している。情報保護技術が機密情報の保護を目的に導入されるのに対し、ネットワークやアプリケーション、クラウドの保護技術は、事業活動を行うため仮想的に構築された企業のインフラを保護するために導入される。サイバー攻撃の対象となりやすい重要資産やネットワーク、システムを護るという「重要インフラのセキュリティ」は、近年注目を集めている。

サイバーセキュリティの分野と主な利用技術

出所:Uzabase作成

接続性の向上が巧妙なサイバー攻撃の増加につながる

サイバー攻撃は近年急増している。サイバーセキュリティ・ソリューションを提供するCheck Point Softwareによると、世界のサイバー攻撃件数は2022年に前年比38%増加したと推定されている。背景には、IoT対応デバイスの増加、インターネット利用者や接続機器の増加、リモートワークの急速な普及など、多くの要因が挙げられる。なお、IoT対応デバイスの数は2015-22年にかけて年平均成長率(CAGR)22%で増加し、2022-27年にかけてはCAGR16%で増加する見通しである(IoT Analytics)。また、環境に適応して検知されにくいマルウェアなど、AIや機械学習を利用した新たな形態のサイバー攻撃も確認されており、連携・組織化された攻撃へと発展しつつある。

オフィスにおいてデジタル技術の採用が進み、接続された端末などエンドポイントの数が急増したため、サイバー犯罪者が企業ネットワークに侵入する手段も増えた。IBM Securityの「X-Force Threat Intelligence Index」によると、2022年にサイバー犯罪者に最も狙われた業種は製造業で、これに金融業と保険業が続いた。さらに、Hiscoxによると、同年時点で最も一般的な侵入経路はクラウドサーバーとビジネスメールであり、サイバー攻撃の種類別では、マルウェアやフィッシングなどのランサムウェアによる手口が最も多かった。

サイバー犯罪者は、個人情報を盗み、なりすましや身代金の要求を行う。たとえば、Cam4(USA)は2020年最大の個人情報流出インシデントに見舞われ、ハッカー集団によって数か国にまたがる約110億人のユーザーの実名、メールアドレス、チャットやメール履歴、IPアドレス、パスワードが漏えいした。また、政府機関や国家の重要インフラを標的にしたサイバー攻撃など、政治的な動機による攻撃もある。たとえば2023年7月、日本の年間貿易量の約10%を担う国内最大級の港湾である名古屋港では、大規模なランサムウェア攻撃を受け、システム障害により2日間にわたりコンテナの積み下ろし作業ができなくなった。

サイバー攻撃の種類と関連するリスク・事例

出所:Uzabase作成

リモートワークの急速な普及でサイバーセキュリティ強化を迫られる企業、特に中小企業が狙われやすい

コロナ禍を機に、リモートワークや、オンラインとオフラインを融合したハイブリッドな働き方が普及した。その結果、事業継続性やリモートワーク支援に関わる課題が、企業のセキュリティ対策に大きな影響を与えている。サイバーセキュリティソフトウェアを提供するF5がユーザーから取得したデータによると、コロナ禍でフィッシング攻撃件数は220%増加した。2020年以降、米国ではMicrosoft、Yahoo、Meta Platformsなどの大企業において情報漏えいが発生している。日本でも2020年にNTTのクラウドネットワークが攻撃され、数百件もの顧客情報が流出した。同様に、中国でも2021年にソーシャルメディアプラットフォームのSocialArksが攻撃を受け、3億件超の顧客情報が流出している。

企業が多様化した働き方を採用するなか、サイバーセキュリティへの支出も増えている。Hiscoxの「Cyber Readiness Report」によると、2022年のサイバーセキュリティへの支出は、2019年から250%増、2021年から60%増となった。さらに、調査対象となった8か国のうち7か国がサイバー犯罪をビジネスへの主な脅威としている。同様に、PwCが2022年に3,522社を対象に実施したグローバル調査では、75%がサイバーセキュリティの改善に投資しており、65%がサイバーセキュリティ関連予算を増やす意向があると答えた。

中小企業は、リソースや従業員が限られているため、強固なサイバー防御を備えておらず、サイバー攻撃者にとって格好の標的となっている。中小企業が大企業のベンダー/サプライヤーとして機能している場合、サイバー犯罪者はこれらの企業を大企業のデータベースにアクセスするための入り口として悪用することがある。一例として、2019年、トヨタ自動車では約300万人の顧客情報が漏えいした。このインシデントは、トヨタ販売子会社やその関連会社8社(トヨタやレクサスなどの独立系自動車販売店を含む)のサーバーにハッカーが侵入したことが原因となった。Forbesによると、2020年時点で中小企業事業主の60%が「サイバー攻撃は自社にとってリスクではない」と考えており、十分なセキュリティ対策を実施しておらず、標的となる可能性が高まっている。

サイバー攻撃の手口が複雑化するなか、継続的な規制の見直しが行われている

サイバーセキュリティ規制は、企業や政府の情報技術やコンピューターシステムをサイバー攻撃から護るための指令で構成されている。企業や政府機関が採用すべき基本的な対策から、個人データ保護にいたるまで、規制範囲は広範に及ぶ。個人データ保護に関する規制については、トレンド「デジタル個人情報」を参照。

現行のサイバーセキュリティ規制は国や地域により異なる。基礎的な規制が整備されている一方で、攻撃の手口が複雑化していることを背景に、新たな規制の導入・改正、既存の規制の改訂・追加など、規制は絶えず進化している。米国では、特定の政府機関による法律も制定されつつある。日本では、2014年にサイバーセキュリティに特化した法律「サイバーセキュリティ基本法」が制定され、2018年12月の改正に伴いサイバーセキュリティ委員会が設立された。同委員会は、事業者や政府、地方自治体がサイバーセキュリティに関わる情報共有や提言を行う場を提供する。

主要国の主なサイバーセキュリティに関連する法律

出所:各国政府公表資料、Chinabriefing.com、endpointprotector.com、HIPAA Journalを基にUzabase作成

マネタイズ

接続性の向上を背景に高まる脅威、サイバーセキュリティ支出が増加

Fortune Business Insightsによると、世界のサイバーセキュリティ市場は2022年に1,540億ドル規模となり、2022-30年にかけてCAGR14%で成長し4,250億ドル規模に達すると予測されている。地域別では、北米が2022年の売上高全体の約半分を占めた。これは、高い接続性、強力な製品基盤、サイバーセキュリティに対する政府支出の増加が要因とみられる。2021年、米国政府はサイバーセキュリティへの連邦政府の投資としては過去最大規模となる、インフラ投資・雇用法(Infrastructure Investment and Jobs Act、IIJA)を成立させた。この法律に割り当てられた1.2兆ドルのうち約20億ドルは、複数の政府機関において国家のサイバーセキュリティを改善するための補助金として割り当てられた。

コロナ禍の発生により接続性が向上したことを背景に、サイバーセキュリティ需要が大幅に増加した。コロナ禍の初期の混乱が落ち着いた後も多くの企業がデジタルツールの利用を継続し、ハッキングやフィッシングなどのサイバー攻撃の増加が続いた。ま た、ソフトウェアやシステムに簡単にリモートアクセスできるよう、セキュリティ基準を引き下げまたは取りやめる企業もあり、サイバーセキュリティ上のリスクが徐々に高まっている。Microsoftによると、コネクテッドデバイスをターゲットとするサイバー攻撃は、2019年下半期と比べて2020年上半期に35%増加した。したがって、サイバーセキュリティへの投資は、これらの状況を背景に持続的な需要が見込まれる。

セキュリティ侵害による被害額は、セキュリティ対策向け投資額を大きく上回る

IBMの「Cost of a Data Breach Report 2023」によると、データ漏えい時の対応にかかる平均コストは増加傾向にある。2023年3月現在、米国が950万ドルと最も高く、世界平均の450万ドルの倍以上となっている。企業が情報漏えいリスクから事業を護る手段はいくつかあるが、なかでも「徹底した従業員教育」と「パッケージ型サイバーセキュリティ対策の実施」が2つの主要分野となっている。情報保護にはリスク費用をカバーするだけの多額の投資が必要となるが、最も有効な手段はパッケージ型セキュリティソリューションを導入することである。ただし、ソリューションが導入されていても、人的ミスによる情報漏えいリスクが残るため、サイバーセキュリティに関する人の意識を向上させる取り組みが重要となる。Verizonの報告によると、2022年に生じた情報漏えいの82%は人為的ミスが原因であった。

企業情報を護るための第1ステップは、従業員に対するサイバーセキュリティ教育であるといえる。これにかかる費用は、求められる内容により無料から5,000ドル超までと差がある。たとえば、従業員数が100人程度の企業であれば、100件ほどの個人情報または機密情報が漏えいした場合のコストに相当する。さらに、基本的な教育プログラムであれば、セキュリティソリューションのプラットフォームを導入する費用の約5分の1ほどの費用で済むが、組織のインフラ保護のための武器の一つになりえる。たとえば、クラウド型のセキュリティソリューション費用は年間約3万3,500ドルで、223件の記録が盗まれた場合のコストに相当する。

しかし、リスク費用の観点からみると、企業が機密性の高い情報を大量に保存しておらず、大手企業と重要な情報をやりとりする関係にない場合は、セキュリティ意識の向上を目指す教育が最も効率的なコスト削減手段であるといえる。サイバーセキュリティ対策にかかる費用は、組織の事業規模やリスク選好、コンプライアンス検討事項など、複数の要因に左右される。しかしながら、情報漏えいが生じた際の対応コストは、セキュリティ対策向け投資額を大幅に上回るものとなる。

  プラットフォーム別のサイバーセキュリティ研修に関わるコスト

出所:Kaspersky『Cyber Security for Business Report and Security Intelligence』に基にUzabase作成

注:特定規模(事務所を2か所運営しエンドポイントが計100か所)の企業をモデルとした年間費用概算

*従業員(またはエンドポイント)1人あたりの費用は上限を7,500ドルとして算出

未来

各業界でセキュリティ対策が講じられている

属する業界に関わらずどの企業もサイバー攻撃を受けるリスクにさらされており、サイバーセキュリティ対策は必須である。ワイヤレス接続を可能にする新技術の発展により、様々な業界で業務の仕方が変化している。たとえば、医療業界ではAIやロボット工学などの技術により仮想手術が可能となり、医療機関はクラウドソリューションを利用し、医療情報を仮想空間に保存できるようになった。ただし、これにより企業が情報漏えいにさらされるリスクが増している。

世界規模でみると、データ漏えい時の対応にかかる平均コストが最も大きいのは医療業界であり、これに金融業界、製薬業界が続いている(2023年3月現在)。医療業界のデータ漏えい時の平均コストは、2022年の1,000万ドルから2023年には1,100万ドルに増加した。ただ、世界的に最も多くの攻撃を受けたのは製造業で、2022年の報告件数の25%を占めた。Center for Internet Security(CIS)では、管理者権限を取得しようとするユーザーに対して、スマートカード、ワンタイムパスワード、生体認証などのセキュリティ対策を講じることで脅威のリスクを回避するよう促している。

様々な業界が新技術を導入したサイバーセキュリティ対策を実施している

出所:Uzabase作成

AIや自動化ツールの活用が脅威の迅速な検知・対応・被害軽減を支援、コスト削減にも寄与

次世代のサイバーセキュリティツールは、AIや機械学習を活用して、脅威を予防的に特定し、インシデント対応を自動化する。たとえば、エンドポイント・セキュリティ・ソリューションは、AIや機械学習を用いてアクティビティ・データを分析し、ネットワークに接続されたコンピューター、携帯電話、POS端末などの様々なデバイスに対する脅威を検出する。

また、サイバー攻撃の検知にAIを導入することで、企業は脅威の検知と対応にかかる時間を短縮することができる。  IBMの「Cost of a Data Breach」の調査レポートによると、セキュリティAIおよび自動化ツールを広範に使用している企業は、使用していない企業と比較して108日早くデータ侵害を特定し、被害を最小限に抑えている。さらに、データ漏えい時にかかる平均コストも360万ドルと、セキュリティAIを使用していない企業よりも約40%低く、より高いコスト削減効果も示されている。ただし、調査対象となった企業の33%は部分的にしか導入しておらず、40%近くはいかなる形態のセキュリティAIも使用していないことがわかった。

サイバー保険への加入は有効な予備対策

企業は予備的な対策として、サイバー保険に加入することもできる。サイバー保険は、データ損失や復元、恐喝、訴訟にかかるコストおよび規制にかかる罰金など、サイバー攻撃や情報漏えいによる損失や損害から企業を護るものであり、主に「当事者賠償責任保険」と「第三者賠償責任保険」の2種類に大別できる。当事者賠償責任保険は、加入企業自体による情報漏えいやサイバー被害で生じる損失を補償する保険であるのに対し、第三者賠償責任保険は、第三者に対するサイバー攻撃により加入企業が被る損失を補償するものである。保険会社は、通常サイバーセキュリティ専門会社と提携を結び、引受業務や保険金支払い請求の受付にあたり、発生しうる技術的課題への対応について協力を得ている。

2022年時点で、米国企業の65%がサイバー保険に加入している。中国でも、新たに施行された個人情報保護法や増加するマルウェア攻撃により、企業によるリスク移転策の導入が進みサイバー保険の加入が増加している。2022年、上海保険協会は上海銀行保険監督管理局の指導のもと、国内初のサイバー保険基準を発表した。

セキュリティ対策が不十分な企業がサイバー攻撃を受けている

効果的なサイバーセキュリティ対策を実施していたため、サイバー攻撃を防ぐことができた企業の例は多い。しかし、大手企業のなかでも予算の制限や過失によりサイバーセキュリティ対策や人的リスク管理が不十分なことでサイバー攻撃を受け、多大な罰金や科料が科せられるケースも生じている。

サイバーセキュリティ導入の成功事例

出所:Uzabase作成

サイバーセキュリティ導入の失敗事例

出所:Uzabase作成

青山 武史

青山 武史

グロービス経営大学院大学でMBAを取得し、キャリアを一貫してクリエイティブ、テクノロジー、ビジネスを高度に融合させた新規事業開発やイノベーションの創出を主導して来た。スタートアップ(最高事業責任者)や事業会社(マーケティング最高責任者)等でマーケティングからサービス開発までの新規事業開発の経験を積み、多くの事業で収益規模を拡大し、大手企業とのアライアンスに携わった。現在はYKK APにて新規事業開発部担当部長として、再生エネルギー事業の推進と新規領域の探索を担当。Point0を通して大手企業と共創活動を推進。渋谷未来デザインとSWiTCHとのカーボンニュートラルプロジェクト「CNUD」に参画。個人としても大手エネルギー企業のヘルスケ領域の新規事業開発支援コンサルティング実績多数。

コメント

この記事へのコメントはありません。

CAPTCHA


関連記事