米ExtraHop Networksは5月23日、日本、オーストラリア、シンガポールに拠点を置く組織のセキュリティ部門およびIT部門の意思決定者300人(各国100人ずつ)を対象に実施した調査レポート「ExtraHop 2022 Cyber Confidence Index—Asia Pacific(ExtraHopサイバーセキュリティの信頼度指数―アジア太平洋地域2022年版)」を発表した。これにより、日本は自社のセキュリティに対して信頼の低いことが浮き彫りとなった。

同調査によると、アジア太平洋地域の組織の83%が過去5年以内に少なくとも1回はランサムウェア攻撃を経験しているものの、そのインシデントを公表した組織はわずか32%であることが分かった。日本においては77%が侵害を受け、75%が公表していなかった。

しかしITセキュリティ担当者はこの実態に否定的であり、66%がランサムウェア攻撃について公表・開示する方が望ましいと考えている。日本では、ランサムウェア攻撃に関する情報を一般に公表・開示すると回答した組織は25%で、他国より少ない結果となった。

また、自社のサイバー脅威防御・対応能力を「大いに信頼している」または「完全に信頼している」と答えた回答者の割合は、シンガポール(52%)、オーストラリア(43%)の順に高く、日本(23%)は最も低い結果となった。さらにサイバー攻撃の特定能力についても「とても自信がある」または「自信がある」と回答した回答者の割合は日本が一番低く、シンガポール(62%)、オーストラリア(59%)、日本(37%)の順だった。

一方で、アジア太平洋地域の組織の過半数が、身代金を支払えば攻撃は増えると考えているにもかかわらず、45%が身代金の支払いに応じた経験があることが分かった。さらに44%の回答者が、ランサムウェア専門の保険またはランサムウェアの支払いもカバーする保険のいずれかに加入していると回答し、日本ではいずれの保険の加入率も40%以下だった。

さらに、73%の回答者が「セキュリティに関する経営陣の判断は、法的措置や罰金によって促されるものである」と考えていることが判明した。これは地域によって大きな差があり、シンガポールでは86%の組織が法的な影響を懸念しているのに対し、日本では68%、オーストラリアでは64%の組織が法的な影響への懸念を示した。

ExtraHop Networks CISOのジェフ・コストロー氏は「リーダーは、自社の知的財産、データ、顧客情報に対するリスク許容度を重視し、最も重要な資産を保護するためにツールとネットワークインテリジェンスでチームを強化する必要がある」と指摘している。