2021 Global Digital Trust Insights あらゆるシナリオに対応できるレジリエンスを築き上げる

2021-04-30

2021年の脅威を見通す

不確実な時代の中、企業は確実性を求めて行動しています。Global DTI 2021においては、回答者のうち40%の経営者が「破壊的なサイバーインシデントが発生した場合であっても、ビジネス上の重要機能は継続して運用できるようレジリエンスを増強する計画である」と回答しました。

2020年、企業がサイバー攻撃を受ける可能性はこれまでになく大きくなりました。ネットワークへの侵入、ランサムウェアおよびデータ漏えいが、フィッシング行為と同様に急拡大した一年でした。

PwCは経営者に対して、次年度に業界や組織に影響を及ぼしかねないサイバー脅威の発生可能性をランク付けしてもらいました。IoT（Internet of Things）とクラウドサービスプロバイダーが「発生可能性が高い脅威ベクター」のトップ（33%が回答）にランキングされた一方で、クラウドサービスに対するサイバー攻撃が「甚大な悪影響を持つ脅威」としてトップ（24%が回答）にランキングされました。

脅威、攻撃主体、事象：相対的な可能性とその影響

（発生可能性について「分からない」を選択した回答者、または影響について「現時点では不明」を選択した回答者は、この分析からは除外した）

発生可能性が比較的高く、影響が大きな脅威

デジタル化の拡大と高速化によって、サイバー攻撃が事業に被害をもたらす可能性が増大しています。調査によると、2021年に発生可能性が最も高く、被害が大きいのは、クラウドサービスへの攻撃および重要な事業・サービス（運用・制御技術）に影響を及ぼすような破壊力のあるランサムウェアです。企業のサイバーセキュリティ対策は、これらの脅威に対処できているでしょうか。

回答者の55%は、2021年にクラウドサービスプロバイダーが攻撃される「可能性がある」、または「可能性が高い」と考えており、45%がその影響は「大きい」、または「甚大」と述べています。また、回答者の57%はクラウドサービスへの攻撃が発生する「可能性がある」と考えており、59%はその影響は「大きい」、または「甚大」と述べています。ほぼ同数の回答者（56%）が、2021年にランサムウェアによる攻撃が起きる「可能性がある」、または「可能性が高い」と考えており、58%はその影響は「大きい」、または「甚大」と述べています。

テクノロジー企業は、クラウドサービスに対する脅威に注意を払っています。テクノロジー・エンターテインメント＆メディア・通信業界の経営者の多くは、このような脅威が起きる可能性が「非常に高い」と回答しています。

発生可能性は比較的低いが、影響は大きい脅威

次に、発生可能性は比較的低いが、影響は大きい脅威を見てみましょう。経営者たちは世界経済フォーラムの「グローバルリスクレポート2020」において、「感染症」は発生可能性の低い脅威と考えていました。このことから、私たちは未来を予測することはできず、起こり得る未来の事象に備えるしかないことが分かります。企業は、今後さらに広範囲にわたっていく脅威に対して、レジリエンス計画をテスト・検証しているでしょうか。

ここで言う「脅威」に含まれるのは虚偽情報による攻撃（54%が可能性および悪影響に言及）、国家が関与する脅威（48%が可能性、51%が悪影響に言及）、および競合他社（53%が可能性、56%が悪影響に言及）です。製造業、金融機関およびテクノロジー・エンターテインメント＆メディア・通信業界の経営者は、特に国家が関与した攻撃に注意を払っています。

PwCによる2019年のレジリエンス調査および2020年9月に行われたリスク責任者を対象にした調査によれば、企業はレジリエンスを発展・向上させるためにさまざまなことを行う必要があります。さらに、大半の企業にとっては事業継続、災害復旧および危機管理機能を別々に編成することが重要になります。

発生可能性は比較的高いが、影響は小さい脅威

発生可能性は比較的高いが、影響は小さい脅威は、IoTを通じた攻撃（65%が可能性、44%が悪影響に言及）、クラウドプロバイダーを通じた第三者による攻撃（49%が可能性、52%が悪影響に言及）およびソーシャルエンジニアリングによる攻撃（63%が可能性に言及したものの、悪影響に言及したのはたった49%）のように、今も存在するものです。

ヘルスケア業界の経営者は特に、第三者による攻撃の悪影響について懸念を示しています。

良好なサイバー衛生環境は、これらの脅威を回避する上で非常に重要です。脅威を検知し、対処するためのリアルタイムデータを活用したノウハウやツールは急速に進化しています。

今後起こり得る脅威に対する準備はできていますか

金融業界、テクノロジー・エンターテインメント＆メディア・通信業界、医療業界の経営者は、2021年は虚偽情報やランサムウェアによる攻撃の発生可能性が高いと考えています。エネルギー・ユーティリティ企業の経営陣は、ほぼ全ての脅威から甚大な悪影響が出ることを予測しています。

もしあなたが、自社が直面するサイバー脅威や攻撃主体および事象に関する発生可能性と事業影響の相関図を作成するとしたら、どのようなものになるでしょうか。これらの脅威に対処するために割り当てられたサイバー関連の支出は、どのようになっているでしょうか。

さらに、自社が直面するその他の脅威と比べた場合、サイバーリスクはどの程度重要なものと位置付けられるでしょうか。BestBuy社のCISOであるAdam Mishler氏は「情報セキュリティリスクを集計し、自社内に存在する他のさまざまなリスクと比較することは有益であり、企業がリスクをどのように考えているかを示すことができる」と述べています。

Global DTI 2021では、回答者のうち4分の3以上の経営者が「アセスメントとテストを適切に行えば、サイバーセキュリティに対する投資を効率化できる」と述べています。