【経営層向け】企業のセキュリティ対策｢ポイントソリューション戦略｣の限界値、経営幹部1000名に聞いた調査レポートに見る“課題感”と打開策

感染手法も、従来はメールでの「ばらまき型」が主だったが、現在ではVPNの脆弱性を悪用したものがメインになっている。それでも、昨年から日本で急増している「フィッシング攻撃」は大きな脅威だ。攻撃者は、既存サービスになりすましてユーザーにメールを送り、本文中のリンクから本物そっくりのフィッシングサイトに誘導して、入力させたログイン情報（IDとパスワード）を盗み出す。ここ数年はクラウドを利用する企業が増えたため、Microsoft 365やGoogleアカウントを狙ったフィッシングも増えた。

急増するフィッシング攻撃 （フィッシング対策協議会の報告数から筆者が作成）

このようにサイバー攻撃の手法は多様化したが、攻撃の目的はいずれも「企業の持つデータ」で、攻撃者が組織化し始めた2010年代から変わっていない。

IBMの「2024年データ侵害のコストに関する調査」によると、データ侵害によるコストの世界平均は、2024年に前年比10％増と過去最高を記録した。原因として、攻撃の巧妙化はもちろん、攻撃者数の増加が挙げられる。既存の攻撃者グループが、初心者向けに手軽にランサムウェア攻撃やフィッシングを行えるサービスを提供しているためだ。

中でも日本企業が狙われるのは、日本企業の重要な情報や個人情報は地下市場（アンダーグラウンド）にて高値で取引されるからだ。日本は以前からターゲットにされていたものの、これまでは日本語の壁があって攻撃は限定的だった。しかし生成AIの登場で、外国の攻撃者でも容易に自然な日本語を作れるようになり、一段と攻撃が増加したと考えられる。

今、各企業はかつてないサイバー攻撃の脅威にさらされており、対策は急務なのだ。

企業の経営幹部1000名が答えたセキュリティ課題3つ

では、企業の経営層はどう動くべきか。ここからは、IBMとパロアルトネットワークスによる共同調査のレポート（※）をもとに、捉えるべき課題とその解決方法を探っていく。

※「サイバーセキュリティーを収益源に変えるには：セキュリティー・プラットフォームでビジネス価値を生み出す方法」

同調査は、18カ国（日本を含む）21業種の経営幹部1000名を対象に、2024年7月から9月にかけて実施したものだ。調査結果では、まず経営層が抱える3つの大きな課題が明らかになった。