サイバーニュース.jp

世界のサイバーなニュースを配信

多くの「重大な」サイバーセキュリティ侵害が未報告:VikingCloud

カテゴリ:

, , , , , , , , ,

2025年9月23日公開

サイバーセキュリティ企業VikingCloudが実施した調査結果によると、サイバーセキュリティリーダーのほぼ半数(48%)が、過去1年間に「重大な」サイバーセキュリティインシデントを経営陣や取締役会に報告していなかったことが明らかになりました。VikingCloudの最新レポートによると、その主な理由として、経営陣や取締役会からの建設的ではない懲罰的な対応への懸念(40%)、そしてインシデントが公になった場合や規制上の結果を招いた場合の金銭的または評判への損害への恐れ(44%)が挙げられています。

VikingCloudの「サイバーセキュリティエバンジェリスト」であるジョン・マーラー氏はインタビューで、「もしあなたがリーダーシップの立場にあるなら、自社でこのような事態が起こっていないか確認する必要があります」と述べました。「魔女狩りをしろと言っているのではありません。説明責任の文化を育み、特にITやテクノロジー分野で新しい仕事を見つけるのが難しい現状において、人々が職を失うことを恐れずに物事を報告できるような方法を構築するという観点から見てください。」

調査対象企業が侵害を報告しなかったことで、サイバーセキュリティ法にどの程度違反しているか、あるいは違反しているのかは不明です。米国におけるサイバーセキュリティ侵害通知要件は複雑化しており、証券取引委員会(SEC)の規則では、上場企業に対し、重大性の判断から4日以内に「重大な」インシデントを開示することを義務付けています。

法律事務所Hunton Andrews Kurthのパートナーであるスコット・キンペル氏は電子メールで、「興味深い調査ではあるものの、多くの確固たる結論を導き出すには高レベルすぎます」と述べました。「多くのインシデント対応計画では、ごく限られた状況を除き、取締役会やCレベルへのエスカレーションを要求していません。」

キンペル氏によると、この調査は一部の業界に限定されており、「重大なサイバーセキュリティインシデント」のような主要な用語を定義していません。「調査対象企業が上場企業であるか、総資産、収益、その他の指標で測定される相対的な規模がどの程度であるかは不明です」と付け加えました。それでも、この調査は、企業が「適用される法的基準、一般的な市場慣行、および情報に対する利害関係者の要求を十分に考慮して」、特定の状況に合わせたインシデント対応計画を策定すべきであるという良い注意喚起になると述べました。

サイバーセキュリティ企業BreachRxのCEOであるアンディ・ランスフォード氏は、VikingCloudの調査結果は、規制当局への提出書類や経営幹部の行動に関する自社の調査で確認されたことと一致していると述べました。「重大なサイバーインシデントを報告しないという選択は、精査を避ける方法のように聞こえるかもしれませんが、実際には逆の結果を招きます」と電子メールで声明を発表しました。「一時的な安堵があったとしても、いずれは問題が表面化し、関係者全員にとってその結果ははるかに大きくなるでしょう。企業と経営陣全体は、個人的な責任を含め、はるかに大きな責任にさらされることになります。」

この調査結果は、サイバー攻撃が引き続き急増し、企業に金銭的、規制的、法的なリスクをもたらしている中で発表されました。VikingCloudはレポートで、「強力なサイバーセキュリティ防御には、すべてのインシデントを報告するための安全な場を提供する企業セキュリティ文化を構築することが必要です」と述べています。「明確な報告プロトコルを作成し、継続的な学習と改善の文化を確立するのは、サイバーおよびより広範な経営陣のリーダーシップにかかっています。」

今年発表されたレポートによると、FBIのインターネット犯罪苦情センターは2024年に859,532件のインターネット犯罪の疑いのある苦情を受け付け、報告された損失額は160億ドルを超え、前年比で33%増加しました。VikingCloudによると、サイバーセキュリティインシデントは過去1年間で頻度と深刻度の両方でエスカレートしており、人工知能がその急増の主要な推進力となっています。

調査回答者の半数以上(51%)が、新しいサイバー攻撃手法に関して、生成AIまたはエージェントAI駆動型フィッシングキャンペーンを最大の懸念事項として挙げました。これは昨年の調査での22%と比較して大幅な増加です。この調査によると、「これは、エージェントAIがより普及し、悪意のある行為者が生成AI単独よりもさらに危険で効率的、かつ執拗になるにつれて、より多くのリーダーシップチームがAI駆動型攻撃手法の危険性を認識していることを示唆しています。」

さらに状況を悪化させているのは、国家支援型ハッカー(外国政府に支援または指示されたサイバー犯罪者)が、今日ではより広範な組織に影響を与えていることです。VikingCloudによると、あらゆる規模と業界の企業が「ソフトウェアサプライチェーン全体に波及する」攻撃の影響を受ける可能性があります。

回答者の4分の3以上が、サイバーセキュリティ・インフラセキュリティ庁(CISA)や国家安全保障局(NSA)などの米国連邦サイバーセキュリティプログラムに対する最近または提案されている削減が、自組織のサイバーセキュリティリスクを高める可能性があると考えていると述べました。

この調査は、米国、英国、アイルランドのサイバーセキュリティリーダー(ディレクター以上)200人を対象としたものです。VikingCloudの広報担当者は、調査対象組織の中にSECが「重大な」サイバーセキュリティインシデントの報告を義務付けている上場企業が含まれていたかどうかは不明であると述べました。「残念ながら、人口統計に関する質問ではそこまで詳細には踏み込みませんでした」と広報担当者は電子メールで語りました。「業界(ヘルスケア、小売、ホスピタリティ、フードサービス、旅行)、所在地(米国、英国、アイルランド)、複数拠点であるか(86%がそうでした)、役職レベル(43%がC-Suite)について尋ねました。」

元記事:https://www.cybersecuritydive.com/news/many-material-cybersecurity-breaches-unreported-vikingcloud/

投稿をさらに読み込む