(出典:Shutterstock)

今回紹介させていただく報告書は、データ保護に関する製品やソリューションを提供しているCohesity社が調査会社のCensuswide社に依頼して実施されたアンケート調査の結果をまとめたものであり、主にサイバー攻撃に対するデータ保護の実態を明らかにしようとするものである。

調査は2023年4月に実施されており、調査の対象者はオーストラリア、フランス、ドイツ、日本、ニュージーランド、英国、米国の企業における、ITおよび情報セキュリティの意思決定者3400人以上となっている。

本報告書は下記URLにアクセスして、氏名やメールアドレスなどを登録すれば、無償でダウンロードできる。
https://www.cohesity.com/dm/can-you-defy-these-global-ransomware-trends/
(PDF 12ページ/約 2.3 MB)


まず本報告書の冒頭では、調査結果の要点として次の3項目が示されているが、本稿ではこれらのうち(2)および(3)に関するデータを紹介する。

(1)ほとんどの組織は、脅威に対処し事業継続性を維持するために必要なサイバー・レジリエンス戦略やデータセキュリティ能力を備えていない。
(2)サイバー攻撃を受けた後にデータを迅速に復旧できると確信している回答者は、2022年よりも減少した。
(3)サイバー保険の加入が難しくなってきている。


図1は、前述の(2)に関するデータである。サイバー攻撃を受けた後のデータ復旧に関して「完全に自信がある」(absolutely confident)と回答したのは21%とのことだが、図1はその回答を国別に示したものである。日本を含めて各国が15〜18%でほぼ横並びであるのに対して、米国だけが33%と突出している。なお米国だけ突出している理由については不明であり、本報告書でも特に考察されていない。

画像を拡大 図1.  サイバー攻撃を受けた後にデータを復旧できると確信している回答者の国別割合 (出典:Cohesity / The State of Data Security and Management Report 2023)


一方、図としては示されていないが、ランサムウェアの攻撃を受けた場合に、データや事業プロセスの復旧のために身代金を支払うかどうかという設問に対しては、回答者の90%が身代金の支払いを検討すると回答している。こちらも国別の数字が示されており、オーストラリアおよびニュージーランド(95%)、米国(94%)、フランス(93%)、英国(91%)の各国はほぼ横並びと言ってよいであろう。ちなみに日本では78%と、目立って低くなっている。

データを復旧できることに確信があれば、身代金の支払いは不要と考えられるのではないかという気もするが、図1でデータの復旧に確信を持っている人が多いという米国においても、身代金の支払いに対する姿勢が欧州諸国とほぼ変わらないというのは、少々意外に思える。また日本に関しては、データの復旧に関してさほど確信していないにもかかわらず、身代金の支払いには慎重である。

なお、これまで本連載でたびたび指摘してきたとおり(注1)、ランサムウェアに対して身代金を支払うのは避けるべきであるから、日本企業が身代金の支払いに慎重だというデータは望ましいものだと筆者は考えている(もっと低くなってほしい)。いずれにしても、身代金の支払いに対する姿勢がどのような要因で変わるのかは不明であり、筆者としてはこれが明らかになるようなデータが将来何らかの調査結果から示されることを期待している。