IT人材支援サービスを中心に展開する「レバテック」社は、企業のDX(デジタルトランスフォーメーション:デジタル技術を使い、やり方や働き方そのものを根本から変える)担当者を対象とした「サイバーセキュリティ実態調査」の結果を発表した。
調査からは、企業のデジタル化が加速する一方で、約3社に1社がサイバー攻撃の被害に遭っている事実が判明。
特に資金力や情報価値の高い大企業が標的とされている実態や、防御の要となる「専門人材」の不足が深刻化している現状が挙げられている。
「大企業=安全」ではない
調査によると、過去にサイバー攻撃を受けた企業は全体の32.4%。
しかし、これを企業規模別に見ると従業員100名以下の企業での被害率が約2割に留まるのに対し、従業員数5,001名以上の大企業では49.5%で約2社に1社が被害を経験している。
攻撃者はより高い身代金や価値ある機密情報を狙い、明確に大手企業をターゲットにしている現状がデータから明らかになっている。
業界別でも、金融・保険(43.5%)やIT情報通信(42.9%)など、社会インフラに近い業界ほど被害が顕著であることが伺える。
脅威のトレンドは「金銭搾取」と「裏口侵入」
企業を狙う攻撃手法で最も多かったのは「ランサムウェア(53.1%)」となっている。
2番目に多かったのが「サプライチェーン攻撃(39.7%)」で、これは防御の固いターゲット企業を直接攻撃するのではなく、セキュリティの甘い取引先や子会社を踏み台にして侵入する手口となる。
自社だけの対策では防ぎきれない「攻撃の連鎖」が常態化しており、これが高い被害率の一因となっている。
防御の限界「予算はあるが人がいない」
DXやクラウド化により、約8割の企業がセキュリティリスクの高まりを感じているものの、対策は追いついていない。
最大のボトルネックは「予算」ではなく「人」とされており、課題のトップは「サイバーセキュリティ人材の不足(57.9%)」となっている。
次いで「社内の技術的知見がない(52.0%)」が挙げられ、これらは「予算不足(27.4%)」を大きく上回っている。
さらに企業規模によって、抱える「人手不足」の質に違いがあることも分析から見えている。
中小企業では「何から手をつければいいか分からない」という知見・ノウハウの欠如。
一方の大企業では「対策の必要性は理解しているが、高度化する攻撃に対抗できるスペシャリストの確保難や、巨大組織を統制する体制整備の遅れ」がそれぞれ課題となる。
今回の結果を受け、レバテック執行役社長の泉澤氏は、「サイバー攻撃が看過できない経営リスクになっている」と指摘。
攻撃手法が高度化してサプライチェーン全体が狙われる現在、セキュリティ対策はIT部門任せにする技術的な問題ではなくなっているという。
専門人材の採用・育成を含め、経営層がリーダーシップをとって取り組むべき最重要課題になっていることが示唆されている。
【参考記事】