要点:
- サイバーセキュリティ企業VikingCloudが実施した調査によると、サイバーセキュリティリーダーのほぼ半数(48%)が、過去1年間に「重大な」サイバーセキュリティインシデントを経営幹部や取締役会に報告しなかったことが明らかになりました。
- 主な理由として、経営陣や取締役会から懲罰的な対応を受けることへの懸念(40%)、およびインシデントが公表されたり規制上の結果を招いた場合の財務的・評判的損失への恐れ(44%)が挙げられたと、VikingCloudは最近の報告書で述べています。
- 「もしあなたがリーダーの立場にいるなら、これが自社で起きていないか確認する必要があります」と、VikingCloudの「サイバーセキュリティ・エバンジェリスト」であるJon Marler氏はインタビューで語りました。「魔女狩りをしろと言っているのではありません。説明責任の文化を育み、人々が自分の仕事を失うことを恐れずに事案を開示できる方法を作るという観点で考えてください。特に今は、ITやテクノロジー分野で新しい仕事を見つけるのが難しい時代ですから。」
詳細分析:
調査対象となった企業が、侵害を報告しなかったことでサイバーセキュリティ関連の法律に違反したかどうかは明確ではありませんでした。
米国ではサイバーセキュリティ侵害の通知要件が増加しており、証券取引委員会(SEC)の規則では、上場企業に対し「重大な」インシデントが重大性と判断された場合、4日以内に開示することが義務付けられています。
「興味深い調査結果ですが、内容が大まかすぎて確固たる結論を導くのは難しいです」と、法律事務所Hunton Andrews KurthのパートナーであるScott Kimpel氏はメールで述べています。「多くのインシデント対応計画では、非常に限定的な状況を除き、取締役会やCレベルへのエスカレーションは求められていません。」
この調査は限られた業界のみを対象としており、「重大なサイバーセキュリティインシデント」などの重要な用語の定義もされていないとKimpel氏は指摘します。「調査対象の企業が上場企業かどうか、総資産や収益などの指標でどの程度の規模なのかも分かりません」とも付け加えました。
それでも同氏は、この調査が、企業が自社の状況に合わせてインシデント対応計画を策定すべきだという良いリマインダーになるとし、「適用される法的基準、一般的な市場慣行、そしてステークホルダーの情報要求を十分に考慮すべきだ」と述べています。
サイバーセキュリティ企業BreachRxのCEO、Andy Lunsford氏は、VikingCloudの調査結果は、自社が規制当局への提出書類や経営幹部の行動を通じて見てきたことと一致すると述べました。
「重大なサイバーインシデントを報告しないという選択は、監視を避ける方法のように思えるかもしれませんが、実際には逆の結果を招きます」と彼はメール声明で述べています。「短期的には安心感があるかもしれませんが、いずれ問題が表面化し、関係者全員にとってはるかに大きな結果を招くことになります。企業や経営幹部全員が、個人も含めて、より大きな責任を問われることになるでしょう。」
この調査結果は、サイバー攻撃が急増し、企業にとって財務的・規制的・法的リスクが高まっている中で発表されました。
「強固なサイバーセキュリティ防御には、すべてのインシデントを安心して報告できる企業のセキュリティ文化を築くことが不可欠です」とVikingCloudは報告書で述べています。「明確な報告プロトコルを作成し、継続的な学習と改善の文化を確立することは、サイバー部門および広範な経営陣の責任です。」
FBIのインターネット犯罪苦情センターは、2024年に859,532件のインターネット犯罪の疑いのある苦情を受理し、報告された損失額は160億ドルを超え、前年から33%増加したと、今年初めに発表された報告書で述べられています。
サイバーセキュリティインシデントは、過去1年間で頻度・深刻度ともに増加しており、人工知能がその主な要因となっているとVikingCloudは述べています。
調査回答者の半数以上(51%)が、新たなサイバー攻撃手法として生成AIやエージェントAIによるフィッシング攻撃キャンペーンを最大の懸念事項に挙げており、昨年の調査(22%)と比べて大きく増加しています。
「これは、より多くの経営陣がAI駆動型攻撃手法の危険性を認識し始めていることを示唆しています。特にエージェントAIがより広く普及し、悪意ある攻撃者が生成AI単体よりもさらに危険かつ効率的、執拗になるためです」と調査は述べています。
さらに状況を複雑にしているのは、国家が支援または指示するハッカー(国家支援型サイバー犯罪者)が、今日ではより幅広い組織に影響を与えていることです。VikingCloudによれば、あらゆる規模・業界の企業が「ソフトウェアサプライチェーンを通じて波及する」攻撃の影響を受ける可能性があります。
回答者の4分の3以上が、サイバーセキュリティ・インフラセキュリティ庁や国家安全保障局など、米国連邦のサイバーセキュリティプログラムの最近または提案されている予算削減が、自社のサイバーセキュリティリスクを高める可能性があると考えていると回答しました。
この調査は、米国、英国、アイルランドのサイバーセキュリティリーダー(ディレクター以上)200人を対象に実施されました。
VikingCloudの広報担当者は、調査対象となった組織の中に、SECによって「重大な」サイバーセキュリティインシデントの報告を義務付けられている上場企業が含まれていたかどうかは分からないと述べました。
「残念ながら、人口統計の質問ではそこまで詳細には聞いていません」と広報担当者はメールで述べました。「業界(ヘルスケア、小売、ホスピタリティ、フードサービス、旅行)、所在地(米国、英国、アイルランド)、複数拠点かどうか(86%が該当)、役職レベル(43%がCスイート)については質問しました。」
翻訳元: https://www.cybersecuritydive.com/news/material-cybersecurity-breaches-unreported/760892/