(出典:Shutterstock)

BCMの専門家や実務者による非営利団体である BCI(注1)は、これまで度々発表していた「Cyber Resilience Report」の2023年版を2023年3月に発表した。前回の2021年版は2021年12月に発表されたが、今回は発表時期が年をまたいだため、「2022年版」を飛ばして2023年版となった。

2021年版を紹介したとき(注2)にお伝えしたとおり、2021年版から内容や構成が大幅にリニューアルされ、今回はまだリニューアル後2回目の報告書となるので、全体的に過去のデータとの比較はほとんど行われていないが、2021年版と比べて興味深い変化も散見されるので、今回はそういった部分を中心に紹介させていただきたいと思う。

なお本報告書は下記URLから無償でダウンロードできる。ただしBCI会員でない場合は、BCIのWebサイトにユーザー登録(無料)を行う必要がある(注3)
https://www.thebci.org/resource/bci-cyber-resilience-report-2023.html
(PDF 72ページ/約 2.9 MB)


まず、報告書の目次は次のようになっている。2021年版と比べると若干変更されているものの、大まかな構成は維持されている。

- Executive summary
- Cyber disruptions
- Financial impact
- Detection and response
- Cyber threat landscape
- Top management commitment
- Business continuity and cyber resilience
- Roles and responsibilities
- Building cyber resilience
- Data protection
- Looking further out
- Annex


図1は最初のセクションである「Cyber disruptions」からの引用で、自組織で発生した直近のサイバー・インシデント(注4)をどのように発見したかを尋ねた結果である。最も多いのは「Seciruty information event management alert」、次いで「Antivirus/end detection and response alert」となっており、何らかの監視・警報システムが導入され、それらが実際に役に立ったという事例が一定数あることが分かる。

画像を拡大 図1. サイバー・インシデントの発生をどのように発見したか  (出典:BCI / Cyber Resilience Report 2023)

システムが停止した(System outage)とかWebサイトがダウンした(Website failure)という結果が発生したことでインシデントに気付いたという回答もあるが、もちろん本来はこのような事態に至る前にインシデントの発生を検知して対処できるのが望ましい。さらにはサプライヤーや顧客からインシデントの発生を知らされた(Supplier / Customer notification)というケースもそれなりに発生しており、これらは取引先からの信頼やレピュテーションという観点からは極力避けたい結果であろう。

2021年版ではサイバー・インシデントの検知にどのくらい時間がかかったかというデータは示されていたが、図1のように検知方法に関するデータはなかった。このようなデータを見ると、サイバー・インシデントを検知するためのシステムの有効性や必要性がよく分かる。