アイデンティティ セキュリティカンパニーであるCyberArk Software株式会社(本社:東京都千代田区、執行役社長:倉橋 秀則、以下CyberArk)は本日、「2023年版 サイバーセキュリティに関する脅威意識調査」の結果を発表しました。同調査は、日本をはじめとする、アジア太平洋地域・欧米・中南米・中東の16カ国で、サイバーセキュリティに関わる組織の意思決定者2,300人を対象に実施されました。
アイデンティティを狙った攻撃領域が拡大
今回の調査では、人工知能(AI)などの急速に進化するテクノロジー、不安定な国際情勢とそれに伴う経済状況の悪化、従業員の離職率の上昇などにより、アイデンティティ(ID) セキュリティにおけるリスクが拡大していることが浮き彫りになりました。組織がAI活用を中心とするイノベーションやハイブリッド型勤務を促進し、仕事の効率化に向けたデジタル化やクラウド導入への投資を増やす中で、人とマシンのIDが増加することが予想されています。しかし、その一方で、サイバーセキュリティに対する投資の優先度が下がっており、増加するIDを対象にした攻撃領域が急速に拡大しています。
- 回答者の99%が、経済的要因による人員削減、国際政治情勢の要因、ハイブリッド型勤務の広がりがID関連のサイバーセキュリティ侵害に影響を及ぼすことを予想しています。また、回答者の58%(日本:54%)は、これらの侵害が、クラウド採用やレガシーアプリケーションの移行など、デジタルトランスフォーメーション(DX)の取り組みの一環で発生すると回答しています。
- 68%の回答者(日本:62%)は、従業員の離職に起因するサイバー問題を予想しており、組織に不満を抱く退職者や適切に管理されていない認証情報などによる、内部脅威の懸念を示しています。
- 組織におけるSaaSアプリケーションの導入について、45%の回答者(日本:48%)が今後12カ月間で100以上のSaaS導入を予想しています。人に紐づくIDと人に紐づかないIDの大部分がSaaS経由で機密データにアクセスしていることを踏まえると、SaaSアプリケーションが攻撃の入り口となる可能性が危惧されています。
アイデンティティに関わるサイバーセキュリティの新たな懸念:AIを活用したマルウェア
また、本調査結果では、IDとサイバーセキュリティに関して、新たな懸念事項が明らかとなっています。
- 回答者の93%(日本:97%)は、AIによるサイバー脅威が組織に影響を及ぼすと予想しており、最大の懸念事項としてAIを活用したマルウェアが挙げられました。
- 過去1年間でランサムウェア攻撃の標的となった企業は、回答者全体の89%(日本:89%)に上りました。そのうち、60%(日本:56%)は、ランサムウェア攻撃に対して身代金の支払いを二度以上行ったことが明らかになりました。
- ソフトウェアサプライチェーン攻撃に関して、59%の回答者(日本:65%)が自社の組織は阻止および検知ができていないと指摘しています。また、回答者の56%(日本:48%)は、自社の組織は過去12カ月間にソフトウェアサプライチェーン攻撃に対するセキュリティ強化を十分に行っていなかった、と回答しています。
アイデンティティ中心の攻撃領域の拡大
今日、IDの半数近くは機密性の高い重要資産へのアクセスに使用されていることから、IDが攻撃ベクトルとして狙われており、本レポートでは、組織におけるIT環境の重要領域の保護が不十分であるということが明らかになりました。
- 回答者の63%(日本:47%)が、組織における最も機密性の高い従業員のIT環境へのアクセスが適切に保護されていないと回答しました。また、組織の機密データにアクセスするIDの種類として、人に紐づくIDの割合が38%(日本:34%)であることに対し、人に紐づかないIDの割合は45%(日本47%)でした。
- サイバー攻撃における最大のリスク領域として、認証情報アクセス(35%)が挙げられており、次いで、防衛回避(31%)、実行(28%)、初期アクセス(28%)、権限昇格(27%)が挙げられています。一方、日本では、防衛回避(44%)が最大のリスク領域と見なされており、次いで、影響(38%)、実行(35%)、初期アクセス(27%)が挙げられ、調査対象国全体と比較して認証情報アクセスを対象とする攻撃への意識が低いことが浮き彫りになりました。
- 回答者の42%(日本:36%)が、ERPや財務管理ソフトウェアなどのビジネスクリティカルなアプリケーションにおいて、IDの所有者が不明、もしくは、IDが適切に管理されていないと回答しています。さらに、これらのアプリケーションを保護するためにアイデンティティ セキュリティ管理を実施している組織は、全体でわずか46%(日本:45%)に留まっています。
- 調査対象国全体の37%が、人に紐づくIDについて、ビジネスリスクをもたらす可能性が最も高いIDとして、パートナー、コンサルタント、サービスプロバイダーなどの第三者機関のIDを指摘している一方で、日本では最もリスクの高いIDとして、一般消費者のIDが最も多く(37%)挙げられていました。
- ロボットによる業務自動化やボットの導入に関して、調査対象国全体の69%(日本:63%)がセキュリティの懸念により導入が遅れていると回答しています。
CyberArk Softwareの最高経営責任者であるMatt Cohenは、次のように述べています。「DXやクラウド採用を中心とする業務効率化やイノベーションのためのビジネス トランスフォーメーションにより、組織におけるアイデンティティの数は急増し続けています。サイバー攻撃の手法は絶えず巧妙化しており、攻撃者にとって、サイバー防御を回避し、機密性の高いデータと資産にアクセスする最も効果的な手段がアイデンティティであることに間違いありません。組織の重要資産を侵害から防ぎ、長期的なサイバーレジリエンスを構築するうえで、『誰を、そして何を信頼すべきか』が最も重要な課題となっています」
アイデンティティ セキュリティ対策
- ゼロトラストの採用:アイデンティティ セキュリティは、堅牢なゼロトラストを実装する上で不可欠です。ゼロトラストを採用・実装する際に重要なソリューションとして、回答者の79%(日本:73%)がアイデンティティ管理を挙げています。
- 機密アクセスの保護戦略:アイデンティティ セキュリティを強化するために今後優先的に取り組んでいくものとして、ジャストインタイムのアクセス(回答者の32%)、ビジネスクリティカルなアプリケーションを保護する最小特権原則の採用(32%)、アクセスの自動プロビジョニングとプロビジョニング解除(31%)が順に挙げられました。一方、日本における回答は、ジャストインタイムのアクセス(37%)、リアルタイムモニタリング・分析(34%)、認証資格情報の埋め込みの排除(34%)が上位に挙げられました。
本レポートについて
「2023年版 サイバーセキュリティに関する脅威意識調査」は、日本、シンガポール、台湾、オーストラリア、米国、カナダ、英国、フランス、ドイツ、イタリア、オランダ、スペイン、ブラジル、メキシコ、インド、イスラエルの16カ国を対象で、従業員数500人以上の民間組織および公共機関に所属する、サイバーセキュリティに関わる意思決定者2,300人を対象に実施しました。
CyberArkについて
CyberArk(NASDAQ:CYBR)は、アイデンティティセキュリティの世界的なリーダー企業です。CyberArkはインテリジェントな特権制御に注力し、ビジネスアプリケーション、リモートワーク、ハイブリッドクラウド環境、さらにDevOpsライフサイクル全体に渡って、人に紐付くIDをはじめ、人に紐付かないIDを含むあらゆるアイデンティティを対象に、最も包括的なセキュリティソリューションを提供しています。世界有数の大手企業が、企業の重要な資産のセキュリティを確保するためにCyberArkを採用しています。CyberArkの詳細については、https://www.cyberark.com/ja/、ブログ(英語)、Twitter(@CyberArk)、LinkedIn、Facebook、YouTubeをご参照ください。
