🦆

HISCOX Cyber Readiness Report 2024 を読んでみる

2025/01/30に公開

なぜ作成したのか

  • 近年の海外動向がまとまっているらしいので、知った気になりたい

参考

https://www.itmedia.co.jp/enterprise/articles/2501/28/news088.html
https://www.hiscoxgroup.com/cyber-readiness
https://www.hiscoxgroup.com/sites/group/files/documents/2024-10/HSX245 – 2024 CRR.pdf

Hiscox Cyber Readiness Report 2024

Hiscoxの 「Cyber Readiness Report 2024」 は、企業のサイバーセキュリティ対策とサイバーリスクの現状を分析し、特に レピュテーション保護 に焦点を当てています。本レポートでは、最新のサイバー脅威、テクノロジーの進化、企業が取るべき対策について詳しく述べられています。


1. サイバー脅威の増加

  • 攻撃の増加:
    • 67% の企業が、過去12か月でサイバー攻撃の頻度が増加したと報告。
  • 金銭的損失:
    • 58% の企業が、支払い詐欺(Payment Diversion Fraud)による経済的損害を経験。
  • 評判への影響:
    • 47% の企業が、新規顧客の獲得が困難になったと回答。
    • 43% の企業が、サイバー攻撃後に顧客を失った。

2. 企業のサイバーセキュリティ対策

  • サイバーレジリエンスの重要性:

    • 44% の企業は、自社のサイバー攻撃への対応準備が不十分だと感じている。
    • 65% の企業がリモートワーク従業員向けのセキュリティトレーニングを強化。
    • 11% のIT予算がサイバーセキュリティ対策に充てられている。
  • 脆弱性の主な要因:

    • 44% の企業が、従業員の私用デバイス(BYOD)がサイバー攻撃の要因になっていると指摘。
    • 34% の企業が、新技術リスクに対応するスキル不足を抱えている。

3. AIや新技術がもたらす影響

  • Generative AI(生成AI)の影響:

    • 70% の企業が既にGenAIを業務に統合。
    • 56% の企業が、GenAIがサイバーセキュリティリスクに大きな影響を及ぼすと考えている。
    • 64% の企業リーダーが、2030年までにGenAIがサイバーセキュリティ戦略の中核になると予測。
  • ゼロトラストセキュリティ(ZTA)の導入計画:

    • 2030年までに 2/3 の企業がZTA(Zero Trust Architecture)を導入予定。

4. 国別のサイバーリスクの傾向

  • 英国:

    • 70% の企業が、過去12か月でサイバー攻撃の増加を経験。
    • 35% の企業が、評判のリスクを主要なサイバーリスク管理の目的と認識。
  • 米国:

    • 72% のリーダーが、サイバーレジリエンスが企業戦略に「非常に重要」または「極めて重要」だと回答。
    • 10% のIT予算をサイバーセキュリティに割り当て。
  • ベルギー:

    • 73% の企業が経済不安によるサイバー攻撃リスクの増加を認識。
    • 57% の企業がサイバーセキュリティの専門家不足を課題としている。

5. サイバー保険の役割

  • 企業のサイバーリスク意識の高まり:
    • 企業のサイバー保険の利用が増加。
    • 保険は金銭的損害を軽減するだけでなく、ビジネスの成長とイノベーションを後押しする役割を果たす。

結論

サイバー攻撃はますます複雑化し、企業の評判や財務に深刻な影響を与えています。特に レピュテーション管理 が重要視されており、新技術(AI・ZTA)の導入従業員のセキュリティ教育の強化サイバー保険の活用 などが対策として推奨されています。

このレポートは、企業が持続的な成長を遂げるために サイバーセキュリティとビジネス戦略を統合する重要性 を示しています。

所感

  • サイバー攻撃の攻撃頻度が増加、被害を受けることで新規顧客の獲得が困難なるケースも増加。
  • これは委託先評価時に公開されたインシデント情報なども追跡している自分の行動からしても納得がいく結果。
  • サイバー保険についての言及があるが、一時的な被害補填としての資金源になるとしても、信頼失墜に対する売り上げ(機会)の減少の補填になるわけではない。(急場をしのぐための原資が必要なことは事実なので保険自体を不要とは思わない)
  • 理想では、想定リスクに対する予防策を策定し、リスク発生を回避。抑止する投資(見た目上効果が観測しにくい)
  • 結果、レッドチームとしての攻撃ストーリー、影響の試算、費用対効果を表現できるアウトプットが必要となる。
  • 勉強がんばる
GitHubで編集を提案

Discussion