セキュリティベンダー「サイバーセキュリティクラウド」社の調査で、企業におけるサイバー攻撃被害に関して、発生から発覚、公表に至るまでの日数が長期化していることが明らかになったとのこと。
当該調査は、2022年1月1日から2023年11月30日までに公表された不正アクセスに関する個人情報流出事案で、流出数が1,000件以上の法人・団体が対象に行われている。
調査レポートでは、攻撃発生から攻撃発覚までの平均期間が397日となり、これは過去調査と比較して48日の長期化となっている。
一方で「攻撃発覚」から「公表」までの平均期間は77日で、これは過去調査と比べて5日短縮されている。
しかし、攻撃発生から攻撃発覚まで1年以上気づかれないケースが約4割存在し、これは前回の調査より11.4%増加したという。
攻撃発生から発覚までの期間が長期化する要因として、未知の脆弱性を狙ったゼロデイ攻撃をはじめ、Webアプリケーションの更新や監視に関する問題が挙げられた。
特に、中小企業ではサイバーセキュリティ人材の不足やリソース制約が影響し、対応までに時間を要する傾向が顕著という。
また、上場企業と非上場企業を比較すると、上場企業がサイバー攻撃に対してより早く対応していることが判明。
上場企業では攻撃発生から発覚までの平均期間が103日に対し、非上場企業は647日という結果が出ている。
同様に、攻撃発覚から公表までの期間も上場企業が37日で非上場企業は111日だったという。
サイバーセキュリティクラウドの代表取締役CTOは、「攻撃発生」から「攻撃発覚」までの期間が中小企業において特に顕著であると指摘、サイバーセキュリティの重要性を強調。
企業は最新の技術と継続的な教育を通じて、サイバーセキュリティの体制を強化し続ける必要があると結論付けた。