リスクのトップ3はデータセキュリティ、経済の不確実性、AIなどの新興テクノロジー
2023年10月18日― セキュアなマルチクラウドデータ管理のリーダーである ベリタステクノロジーズ合同会社(本社:東京都港区、以下「ベリタス」 )は本日、最新のグローバル調査の結果を発表しました。この調査では、企業の45%(日本の回答:58%)が自社のビジネスに対するさまざまな脅威の深刻度を正しく計算できていない可能性のあることが明らかになりました。世界13カ国、1,600人(日本:100人)のIT意思決定者を対象に実施されたデータリスク管理の調査:サイバーからコンプライアンスまでの市場の現状(Data Risk Management: The State of the Market—Cyber to Compliance)は、最も差し迫ったリスクは何か、常に存在するこれらのリスクの影響、またこれらのリスクを回避する計画に対する知見を提供します。
金利やインフレのようなリスク要因が企業を強く圧迫しているにもかかわらず、ランサムウェアやマルチクラウドの複雑さも、あらゆる企業にとって懸念が高まっています。しかし、調査回答者に、現在自社がリスクにさらされているかどうかを最初に尋ねたところ、ほぼ半数の48%の回答者(日本:60%)が「いいえ」と回答しました。しかし、個々のリスク要因のリストが設問で提示されると、すべてのレベルの回答者が自社の直面している課題を認識し、97%(日本:98%)が企業のリスクを特定しました。
注目すべきは、全体の15%(日本:10%)が、現在直面しているリスクを考えると、自社があと12ヶ月存続できるとは考えていないことです。しかし、経営幹部と組織のデータ保護の現場で働く人々との間にはギャップがあり、これはコミュニケーションの問題を示唆している可能性があります。経営幹部の23%が、今後1年で自社が消滅すると予測しているのに対し、現場で働くアナリストや技術者はわずか6%でした。
ベリタスのシニアバイスプレジデント兼データ保護担当ジェネラルマネージャー、マックス・ワックスマン(Max Waxman)は次のように述べています。「問題に対処する第一歩は、問題があるということを認識することです。このようにリスクを明確にすると、今日の複雑なビジネス運営環境の現実を無視することはできません。リスクはあらゆるところに存在し、常に警戒する必要があります。最終的には回答者の圧倒的多数がリスクの存在を認め、そのほとんどが対策を講じているとしていますが、データはそれだけでは十分ではない可能性を示唆しています」
目の前にある明白な危険
マクロ的な状況や日々目にするニュースの見出しを考えると、調査への回答は明らかに時代を反映したものであると言えます。本調査において、想定される数多くの脅威の中から現在自社が直面している最大の脅威として挙げられたのは、データセキュリティが46%(日本:52%)、経済の不確実性が38%(日本:41%)、AIなどの新興テクノロジーが36%(日本:36%)でした。従来型の脅威、例えば競争や人材不足は、それぞれ第4位と第5位でした。地政学的な不安定性の順位はさらに低く7位でした。
AIは企業にとって諸刃の剣であることが証明されつつあります。ここ数カ月、悪質な業者がAIソリューションを採用し、より巧妙で説得力のあるランサムウェア攻撃を企業に仕掛けているという報告が数多くなされています。さらに、生成型AIツールの不適切な使用によって従業員がデータプライバシー規制に違反することを阻止するための適切なガードレールを設置しない企業にとっても、AIはリスク要因として認識されています。逆に、AI はその機能を利用して悪意のある活動の検出と対応を自動化できるため、企業がハッカーに対抗するための最良のソリューションの 1 つだとも考えられています。
さらに、全体の87%(日本:83%)が風評被害や金銭的被害などのリスクによる悪影響を経験したと回答しています。実際に自社に損害をもたらしたリスクに関する質問では、やはりデータセキュリティが最も多く挙げられ、回答者の40%(日本:34%)がデータセキュリティに関連する損害を被ったと回答しています。損害をもたらした一般的なリスクとして次に多かったのは経済の不確実性で、36%(日本:32%)が被害を報告しています。競争による損害は35%(日本:31%)で第3位、AIなどの新興テクノロジーは33%(日本:26%)でした。
データセキュリティ侵害の影響は、ランサムウェア攻撃を受けた企業の数の多さからも明らかです。回答者の65%(日本:55%)が、過去2年の間にハッカーが自社のシステムに侵入し、少なくとも1回はランサムウェア攻撃による被害を受けたと回答しています。被害を受けた企業のうち、26%(日本:33%)はこれを報告していません。昨年、規制要件へのコンプライアンス違反につながったデータセキュリティ侵害によって回答者の企業に科せられた遵守違反の罰金は、平均で33万6千米ドル(日本:10万5,934米ドル)を上回っています。
多くの企業がターゲットに
多くの回答者にとって、リスクのレベルは高まっています。データセキュリティに対するリスクは、過去12ヶ月間で、21%(日本:15%)が減少、54%(日本:48%)が増加したと回答しました。しかし、自社の脆弱性を十分に理解していない可能性があります。このような認識のギャップは、具体的なセクターの代表的な企業が自社のリスクを評価した方法と、それぞれの回答がリスク評価基準に従ってどのようにスコアリングされたのかということを比較すれば明らかにできます。
本調査では、各質問に対する回答と、これらの回答から明らかになったセキュリティのベストプラクティスの実施状況に基づいて、各回答者に「リスクランキング」スコアが割り当てられました。公共セクターは最もリスクの高いグループにランクされましたが、この分野で自社を「高リスク」に評価した回答者は48%でした。同様に、エネルギー、石油/ガス、公益事業部門の回答者のうち、自らが危険にさらされていると考えているのはわずか 52% でした。
最もリスクの高いセクター | |
---|---|
1 | 公共 |
2 | エネルギー、石油、ガス 、公共事業 |
3 | メディア、レジャー、エンターテインメント |
4 | 建設・不動産 |
5 | 製造・生産 |
6 | IT、テクノロジー、通信 |
7 | ビジネス・専門サービス |
8 | 金融サービス |
9 | ヘルスケア |
10 | バイオ医薬品 |
最もリスクの高い国/地域 | |
---|---|
1 | 英国 |
2 | フランス |
3 | 中国 |
4 | シンガポール |
5 | 日本 |
6 | 米国 |
7 | 豪州 |
8 | 北欧(デンマーク、スウェーデン) |
9 | DACH(ドイツ、オーストリア、スイス) |
10 | インド |
守りを固めているとは言え、果たして十分か?
データセキュリティのリスク軽減を目指している企業の多くは、過去12カ月間にデータ保護のための予算を30%(日本: 32%)も増やしています。データ保護およびセキュリティチームの平均規模も21~22人(日本:24~25人)増えており、89%(日本:83%)が自社のセキュリティを維持する上で現在の人員のレベルは適切なレベルであると回答しています。
このような増員とともに、各企業は守りを強化するための他の方法も模索しています。AIと新興テクノロジーは最大のリスクに挙げられていますが、回答者の68%(日本:66%)がセキュリティを強化するためにAIと機械学習(ML)に注目しています。善悪両方の力を有しているAIの二面性を考えると、守る側のAI保護がハッカーによるAI攻撃より先に進化できるかどうかということが今後の課題になるでしょう。
本調査では3分の1以上である37%(日本:48%)がデータの復旧計画がない、または部分的な計画しかないと回答しており、防御態勢のもう1つの穴が浮かびあがった形です。過去2年の間に半数近くである48%(日本:33%)が少なくとも1回はデータ損失を体験していることを考えると、これは懸念材料となります。
前出ワックスマンは次のように述べています。「ここで注意すべきなのは、誤った自信をもってデータセキュリティ戦略に取り組むことがないようにすることです。最近注目を集めるようなデータ侵害が相次いでいますが、これは完全に防御できる企業など存在しないことを証明しています。データが砂金のようなものだとしたら、私たちはこの宝を守らなければなりません。組織は、サイバー攻撃からデータを保護・復旧させるための包括的なサイバーレジリエンス計画を確立する必要があります。そして、確立した計画は定期的に模擬演習して、必要に応じて再調整していかなければなりません。このように事前の心構えをしっかり持っておくことが転ばぬ先の杖となり、データセキュリティ態勢を強化することによってリスクをうまく回避することが可能になるのです」
日本では、過去2年間にランサムウェア攻撃を受けた企業は、全体の65%よりも少ない55%ですが、この数字は依然として調査対象者の半分以上を占めています。攻撃を受けた日本の企業のうち、わずか22%(全体:39%)が公表しました。これは、報じられているよりも、多くの企業がランサムウェア攻撃を受けていると言えます。また、日本の回答者の40%は、企業が現在「リスクにさらされている」と答えており、全体(52%)よりも低いですが、リスク要因を分けて質問した場合、98%(全体:97%)の組織がリスクに直面していると考えています。この結果は、ランサムウェア攻撃をはじめとするデータ管理にかかわるリスクがもたらす影響を過小評価していることを示しています。
ベリタスの日本法人、ベリタステクノロジーズ合同会社の代表執行役員社長 金光諭佳は次のように述べ ています。「調査の結果から、多くの日本企業が認識しているよりもランサムウェア攻撃を受けているという実態がわかります。また、グローバルと比較して、日本企業は自社がリスクにさらされているという実感をあまり持っていないことがデータに顕著に表れています。そのマインドシフトのお手伝いをすることも当社の重要な役割と受け止めます」
本調査の詳細は、こちらでレポートをダウンロードしてご覧ください。データリスク管理の調査:サイバーからコンプライアンスまでの市場の現状(Data Risk Management: The State of the Market—Cyber to Compliance)
本調査について
本調査は、ベリタスの委託に基づきVanson Bourne社が2023年8月から9月にかけて、日本、豪州、ブラジル、中国、DACH地域(ドイツ、オーストリア、スイス)、フランス、インド、北欧(デンマーク、スウェーデン、ノルウェー、フィンランド、アイスランド)、シンガポール、韓国、UAE(アラブ首長国連邦)、英国、米国の 業種に関係なく従業員1,000人以上の組織の幹部および実務レベルの役職に就いている回答者1,600人を対象に実施したものです。
About Veritas
Veritas Technologies is the leader in secure multi-cloud data management. Over 80,000 customers—including 91% of the Fortune 100—rely on Veritas to help ensure the protection, recoverability and compliance of their data. Veritas has a reputation for reliability at scale, which delivers the resilience its customers need against the disruptions threatened by cyberattacks, like ransomware. No other vendor is able to match Veritas’ ability to execute, with support for 800+ data sources, 100+ operating systems and 1,400+ storage targets through a single, unified approach. Powered by Cloud Scale Technology, Veritas is delivering today on its strategy for Autonomous Data Management that reduces operational overhead while delivering greater value. Learn more at Veritas.com. Follow us on Twitter at @VeritasTechLLC.
Veritas and the Veritas Logo are trademarks or registered trademarks of Veritas Technologies LLC or its affiliates in the US and other countries. Other names may be trademarks of their respective owners.
PR contact
VeritasPublicRelations@Veritas.com