［Trellixレポート］　インド、オーストラリア、日本における、政府機関と重要インフラ事業者のサイバー対応を調査

ソフトウェアサプライチェーンとサイバーセキュリティのスキル不足を主要課題とし、サイバー防衛の協調と脅威データの共有における政府のさらなるリーダーシップ発揮に期待

ニュースハイライト：

・インド、日本、オーストラリアの回答者の89%が、政府主導の取り組みが国家のサイバー防衛を強化する上で重要な役割を果たすことができると回答

・先進的なサイバー防衛技術を導入する際の大きな障壁として、組織内のサイバー技術や導入に関する専門知識の欠如を認識

・インドでは60%が、組織内に導入の専門家がいないことが導入の障害となっていると回答

・全体の82％が、ソフトウェアサプライチェーンのリスク管理は国家安全保障にとって高い重要性を持つ、あるいは極めて高い重要性を持つと回答

・ソフトウェアサプライチェーンの適切なリスク管理ポリシーとプロセスを実装したと回答したのは、オーストラリアで40％、インドで35％、日本では26％に留まる結果に

・インドの93%、オーストラリアの90%、日本の85%が、自国政府とのサイバーセキュリティにおける協力体制に改善の余地があると指摘

・インドの約3分の2（64%）がソフトウェアの脆弱性に関するデータの充実が必要と、また日本の61%とオーストラリアの56%が敵対者の攻撃経路に関するデータの充実がそれぞれ必要と回答

XDR（eXtended Detection and Response）の未来を提供するサイバーセキュリティ企業、Trellixは、サイバーセキュリティの基準や官民間の協働に関し、テクノロジーの導入や政府のサイバーセキュリティにおけるリーダーシップに対する認識について調査した、グローバルなCyber Readiness Report（サイバーレディネスレポート）を発表しました。

本レポートによると、インド、オーストラリア、日本の回答者の89％が、正式な政府主導のイニシアチブが、“サイバー脅威”に対する自国の防衛を改善する上で重要な役割を果たすことができると考えています。これら3ヶ国の回答者は、サイバー防衛の調整、脅威情報の共有、ソフトウェアサプライチェーンの整合性などの分野で、政府との協力関係を改善する余地があると指摘しました。

このレポートは、Vanson Bourneが世界各地で実施した調査に基づくもので、調査は従業員500人以上の組織のサイバーセキュリティ専門家900人を対象とし、この中にはインド、オーストラリア、日本の回答者200人が含まれています。本リリースは、そのインド、オーストラリア、日本の結果に基づいています。

TrellixのCEOであるブライアン・パルマ（Bryan Palma）は、次のように述べています。「世界的な緊張とウクライナでのサイバー戦争により、政府と重要インフラのサイバー対応力に、高い注目が集まっています。このレポートでは、XDRのような新しいテクノロジーの導入の進捗について確認しました。また、官民のパートナーシップを強化し、連携を強化することで、敵対者の機先を制することができる領域を特定しました。」

サイバーセキュリティ技術の導入：日本の回答者の32 ％が、EDR（Endpoint Detection and Response）やXDR、およびクラウドサイバーセキュリティのモダナイゼーションが十分にできていると回答しています。ゼロトラスト認証と多要素認証（MFA）が、それぞれ31％と29％と僅差で続いています。

インドの回答者の32％は、クラウドサイバーセキュリティのモダナイゼーションが十分にできていると回答しました。このグループで最も遅れているサイバー防御技術は、ゼロトラスト・アーキテクチャとEDR-XDRであり、十分に導入しているのはそれぞれわずか25％と22％でした。

オーストラリアでEDR-XDRソリューションを十分に導入したと回答したのは、31％でした。導入がさらに遅れているのは、クラウドサイバーセキュリティのモダナイゼーション（24％）、MFA（24％）、ゼロトラスト（16％）などでした。

ソフトウェアサプライチェーンのリスク：世界全体の回答者の大多数（82％）は、ソフトウェアサプライチェーンのリスク管理ポリシーとプロセスが、国家安全保障にとって高い重要性を持つ、あるいは極めて高い重要性を持つと考えています。

日本の回答者の74％は、こうしたポリシーやプロセスの導入が非常に難しい、あるいは極めて難しいと考え、これらを十分に導入したとの回答はわずか26％にとどまりました。

インドの65％とオーストラリアの63％は、こうしたポリシーやプロセスを導入することが難しいと回答し、十分に導入したとの回答はオーストラリアで40％、インドで35％にとどまりました。

オーストラリアの64％、インドの59％、日本の52％の各回答者が、ソフトウェアについての厳しいサイバーセキュリティ基準を、政府によって義務づけることを支持しています。しかし、3カ国の回答者は、そのような義務化には欠点があると懸念しています。

インドの回答者の51％が、義務化によって政府からの要求が複雑になりすぎ、最終的には導入費用があまりに高くなりかねないと懸念しています。オーストラリアの回答者の約半数は、政府によるソフトウェアセキュリティの義務化は複雑すぎて導入するには費用がかかり、政府の予定するスケジュールを満たすのは難しいと考えています。日本でも、ほぼ同じ割合で、そうした義務化の費用と複雑さを懸念しています。

サイバースキルの課題：調査回答者は、高度なテクノロジーの導入に対するさまざまな障壁を列挙しましたが、一方で3カ国においては共通してサイバーセキュリティの人材不足が明らかになりました。

インドの60％と日本の45％の各回答者は、導入に関する専門知識の欠如が最大の障壁のひとつとして認識していました。オーストラリアの49％と日本の42％の各回答者は、社内担当者の不足が大きな障壁のひとつと指摘しました。これらの結果は、米国と欧州でのサイバーセキュリティスキルの不足とよく似ています。

ブライアン・パルマは、さらにこう述べています。「サイバースキルのギャップはよく知られており、このレポートでは、こうした弱点によってサイバーセキュリティ技術の導入を妨げていると強調しました。米国とその同盟国がイノベーションの優位性を持つと信じていても、ソリューションを導入できなければ、意味がありません。」

官民のパートナーシップ：インドの93％、オーストラリアの90％、日本の85％の各回答者が、各国政府と組織の間のサイバーセキュリティの協力体制に改善の余地があると考えています。

インドの59％が、政府はサイバーセキュリティを改善するために、自分たちのような組織により多くの資金を提供すべきと考えており、53％が攻撃の検出後の調査において、より緊密な協力が好ましいと回答しています。

オーストラリアの半数は、攻撃を受けた組織、政府パートナー、業界関係者の間で攻撃データの共有を促進するために、インシデント通知と法的保護の組み合わせを支持すると回答しています。日本の半数は、攻撃発見後の調査について、より緊密な協力を求めると回答しています。

組織がよりうまく自衛するために政府が共有すべきデータの種類について、インドの約3分の2（64％）が、一般的なサイバーセキュリティの脆弱性についてのデータをより多く提供することが重要だと回答しました。日本の61％とオーストラリアの56％は、敵対者が使用する攻撃経路に関してより多くのデータを提供してほしいと回答しています。日本の58％、インドの52％、オーストラリアの44％が、進行中のサイバー攻撃に関して、より多くのデータの提供を望んでいます。

参考情報：

Media Kit: Path to Cyber Readiness

Report: Path to Cyber Readiness – Preparation, Perception and Partnership

Blog: アジア太平洋地域のサイバー対応: オーストラリア、インド、日本について

Source: Trellix

Trellixについて

Trellixは、サイバーセキュリティの未来を再定義するグローバル企業です。オープンかつネイティブなTrellixのXDR（Extended Detection and Response）プラットフォームは、現在最も高度な脅威に直面するお客様が業務の保護や回復に確信を持って対応するための支えとなります。Trellixのセキュリティ専門家は、広範なパートナーエコシステムとともに、データサイエンスと自動化によりテクノロジーイノベーションを加速させ、4万を超える企業や政府機関のお客様の力となっています。