身代金、「払うべきではない」約8割も半数近くが断言できず--パロアルトネットワークス
パロアルトネットワークスは、国内の民間企業や公共機関を対象にサイバーセキュリティへの投資意向やセキュリティソリューションの導入意欲に関する調査「Beyond 2025 - 国内民間企業・公共機関のサイバーセキュリティ施策と投資動向」の結果を公表した。 同調査は、2024年8月19日~22日に実施されたインターネット調査。売上高500億円以上/従業員数1000人以上の民間企業(468人)と公共機関(59人)計527人のセキュリティに関する決裁権者・意思決定権者を対象としている。 調査結果によると、回答者全体の69%が2024年上半期に何らかのセキュリティインシデントによる被害を経験しており、2025年以降のサイバーセキュリティの予算について83%が「増加する」と回答しているという。導入が進んでいるセキュリティ製品・サービスとしては「SASE/SSE」(61%)、「エンタープライズブラウザー/リモートブラウザー分離」(57%)、「XDR」(54%)などが挙がる一方、運用管理のシンプル化を目的としたプラットフォーム指向の強まりを反映して「現状の製品・サービスの数を削減する方向」と回答した組織が55%に上る。 詳細を説明したチーフサイバーセキュリティストラテジストの染谷征良氏は、サイバー攻撃による被害内容として「システム障害」が31%に達したことを踏まえ、「こういったセキュリティ動向に関するリサーチをこの10数年間毎年実施しているが、システム障害が1位になったのは初めて」と指摘し、個人情報漏えいなどを上回る圧倒的な規模のランサムウェア攻撃が見られるとした(図1)。 関心の高いテーマである「ランサムウェア被害発生時の身代金支払いの是非」に関しては、全体の78%が「身代金は払うべきではない」と回答しているものの、49%は「身代金は支払うべきではないが、その状況になってみないと分からない」と回答しているといい、理想論だけでは片付かない現実の複雑さをうかがわせる。 大規模なランサムウェア攻撃によって長期間の業務停止に追い込まれた事例や、身代金を支払ったにもかかわらずシステム復旧できなかったと報じられた事例などもある。「その状況になってみないと分からない」という回答が半数近くに上ったことは、それだけランサムウェア被害のリアリティーが高まっていることの反映ではないかと考えられる。 染谷氏は「基本的にはビジネスディシジョン」としつつも犯罪組織に多額の資金を渡すことで生じる社会的評価の低下や、国内においては外為法(外国為替および外国貿易法)違反になる可能性など、検討すべき要素が数多く存在すると指摘した。 同社がグローバルでインシデント対応を支援した被害企業のデータでは、「身代金を支払った後、犯行グループが約束通りにデータを復旧したケースは68%」だとも紹介。同氏は「この数字をどう見るかは議論が分かれるところ」と語ったが、実際「払っても復旧されない」という認識が広がればサイバー攻撃者にとっては身代金支払いに応じる企業がいなくなる一方、技術的な問題などによって復旧に失敗することもあり、この数字に落ち着いたと想像される。 染谷氏は身代金を支払ってもデータを復旧できる保証はないことを指摘しつつ、「ポイントは被害を未遂にするための対策。それでも被害に遭った場合の対応方針として、インシデント対応のサービスを提供しているベンダーのリテーナー契約機などを準備しておくことが非常に大事なポイントになってくる」とした。 2025年度以降のセキュリティ投資に関しては、83%が増加すると回答しており、使途としては「新規製品・サービス導入」「他社移行・統合」「運用・監視体制強化」「ペネトレーションテスト」などが挙がっている。
