「アタックサーフェスを定義できない」企業、国別トップは日本

今回は「「アタックサーフェスを定義できない」企業、国別トップは日本」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　トレンドマイクロは、「アタックサーフェス」に関する企業のセキュリティ意識を調査した結果を発表した。対象国・地域の中でアタックサーフェスを完全かつ明確に定義している企業の割合が最も高いのは、フィリピンの69.8％だった。

　アタックサーフェスとは、日本語で「攻撃対象領域」を表現され、サイバー攻撃を受ける可能性があるデバイスやソフトウェア、ネットワーク、ITサービスなどを指す。トレンドマイクロは、サイバー攻撃による侵入の起点だけでなく、その後の侵入先や別のサイバー攻撃での踏み台にされてしまう領域も含まれると説明する。

　同社によれば、アタックサーフェスの範囲は、昔ならPCやサーバー、メールサービスといったものだが、現在ではクラウドやテレワーク環境、IoT、データ資産なども含まれ、IT利用の高度化とIT環境の複雑化によって拡大するばかりだとしている。

　今回の調査は、日本を含む29の国・地域の法人でのIT部門や事業部門の意思決定者を対象として4月に実施した。6297人が回答し、日本では205人が答えた。

　まずアタックサーフェスの拡大について懸念する企業の割合（非常に懸念がある、ある程度懸念するの合計）は、回答者全体では73.3％、日本では71.7％だった。

　アタックサーフェスを完全かつ明確に定義しているとした企業の割合は、回答者平均では51.1％、首位はフィリピンの69.8％で、これに続くスイス、インドネシア、インドが6割を超えた。最下位は33.2％のチェコだったが、「ある程度している」は54.5％で、対象の中では最も多く、「いいえ」と「わからない」の合計は12.4％にとどまった。

　日本は34.6％で28位だった。また、「いいえ」の割合は対象国・地域の中で最も多い14.1％、「わからない」も最多の14.6％に上った。対象国・地域の中で「いいえ」と「わからない」の合計が20％を超えているのは日本のみ（28.7％）だった。日本企業が海外に比べてアタックサーフェスを定義できていない実態が判明した。

　また、「自社のアタックサーフェスの安全性で確実に盲点があると思うか」との質問では、「非常にそう思う」「そう思う」の合計が、回答者平均では61.8％、日本では45.9％だった。

　サイバーリスクの把握や管理が難しい理由では、「定量化が難しい」が回答者平均、日本とも37.6％で最多だった。