EU機関に対するセキュリティ評価が低評価

symbiot – shutterstock.com

欧州委員会によるサイバーセキュリティ強化の新たな取り組みにもかかわらず、多くのEU機関におけるセキュリティ状況は依然として懸念されています。すでに2022年には、欧州会計検査院が特別報告書で、実際の脅威レベルに見合った保護がなされていないと警告していました。EU委員会は、機関内のサイバーセキュリティ向上と資金増額のための対策を求められました。

広範囲にわたる技術的な欠陥

こうした取り組みにもかかわらず、Business Digital Index（BDI）の最新データによると、EUは依然としてシステムをサイバー攻撃から効果的に守るのに苦労しています。EUの75の政府機関ウェブサイトのサイバーセキュリティレベルを調査したところ、67％の組織がD評価（32％、高リスク）またはF評価（35％、重大リスク）を受け、これはインデックス内で最も低いセキュリティ評価でした。いずれの機関もAまたはB評価を獲得できず、残りの33％（33％）の機関はC評価にとどまり、平均以下のセキュリティレベルであることが示されました。

また、分析ではセキュリティ文化の低さと実際のセキュリティインシデントとの明確な関連性も明らかになりました：

• F評価を受けた機関の96％、D評価の92％が少なくとも1件のデータ漏洩を経験していました。これに対し、C評価の機関では36％にとどまりました。
• データベース内でF評価を受けた組織のほぼ半数（46％）が最近データ漏洩を経験。D評価の機関は17％で、C評価の機関ではインシデントは報告されていませんでした。
• F評価の96％、D評価の83％の機関で漏洩した認証情報が発見されました。これに対し、C評価の組織では「わずか」12％でした。
• C評価の組織では既に漏洩したパスワードの再利用率は8％でしたが、F評価では85％に上りました。

分析ではさらに根本的な脆弱性も明らかになりました。F評価を受けた全ての機関でSSL/TLS設定の不備が見つかり、BDIによるとD・F評価の92％の機関が安全でないホスティング環境を利用、Eメールのなりすましもほぼ全てのドメインで可能でした。

これらのセキュリティホールがどのような影響を及ぼすかは、実際の事例からも明らかです。2024年、欧州議会の人事プラットフォーム（PEOPLE）でデータ漏洩が発覚し、8,000人以上の現職・元職員の機密情報が盗まれました。この違反は数か月間発見されず、ID窃盗や恐喝目的で身分証明書、滞在許可証、婚姻証明書などが悪用される可能性がありました。