| Summary |
概要 |
| This sixth survey in the annual series continues to show that cyber security breaches are a serious threat to all types of businesses and charities. Among those identifying breaches or attacks, their frequency is undiminished, and phishing remains the most common threat vector. |
第6回目となる今回の調査では、あらゆる企業や慈善団体にとって、サイバーセキュリティ侵害が深刻な脅威であることが引き続き明らかになりました。侵害や攻撃を確認した企業では、その頻度は低下しておらず、脅威の手段としては依然としてフィッシングが最も一般的です。 |
| Four in ten businesses (39%) and a quarter of charities (26%) report having cyber security breaches or attacks in the last 12 months. Like previous years, this is higher among medium businesses (65%), large businesses (64%) and high-income charities (51%)[footnote 1]. |
企業の10社に4社(39%)、慈善団体の4分の1(26%)が、過去12ヶ月間にサイバーセキュリティ侵害や攻撃を受けたと回答しています。例年同様、中規模企業(65%)、大規模企業(64%)、高所得者向け慈善団体(51%)で高くなっています[脚注1]。 |
| This year, fewer businesses are identifying breaches or attacks than in 2020 (when it was 46%), while the charity results are unchanged. This could be the result of a reduction in trading activity from businesses during the pandemic, which may have inadvertently made some businesses temporarily less detectable to attackers this year. |
今年は、侵害や攻撃を特定している企業が2020年(46%)に比べて少なく、慈善団体の結果は同じです。これは、パンデミックの際に企業の取引活動が減少した結果、今年は一部の企業が攻撃者から一時的に検知されにくくなった可能性があります。 |
| However, other quantitative and qualitative evidence from the study suggests that the risk level is potentially higher than ever under COVID-19, and that businesses are finding it harder to administer cyber security measures during the pandemic. For example, fewer businesses are now deploying security monitoring tools (35%, vs. 40% last year) or undertaking any form of user monitoring (32% vs. 38%). Therefore, this reduction among businesses possibly suggests that they are simply less aware than before of the breaches and attacks their staff are facing. |
しかし、今回の調査で得られたその他の定量的・定性的証拠は、COVID-19のリスクレベルがこれまで以上に高くなっている可能性を示唆しており、企業はパンデミックの間、サイバーセキュリティ対策を実施することが難しくなっていると考えられます。例えば、セキュリティ監視ツールを導入している企業は35%(昨年は40%)、何らかの形でユーザを監視している企業は32%(同38%)と、いずれも減少しています。このような減少は、従業員が直面している侵害や攻撃に対する認識が以前よりも低下していることを示唆していると考えられます。 |
| Among those that have identified breaches or attacks, around a quarter (27% of these businesses and 23% of these charities) experience them at least once a week. The most common by far are phishing attacks (for 83% and 79% respectively), followed by impersonation (for 27% and 23%). Broadly, these patterns around frequency and threat vectors are in line with the 2020 and 2019 results. |
侵入や攻撃を認識している企業のうち、約4分の1(企業の27%、慈善団体の23%)が少なくとも週に1回は侵入や攻撃を経験しています。最も多いのはフィッシング攻撃(それぞれ83%と79%)で、次いでなりすまし(27%と23%)となっています。これらの頻度と脅威のベクトルに関するパターンは、おおむね2020年と2019年の結果と一致しています。 |
| A sizeable number of organisations that identify breaches report a specific negative outcome or impact. On average, for those that do, the costs are substantial. |
違反行為を発見した組織のうち、かなりの数の組織が特定の悪い結果や影響を報告しています。報告された組織の平均的なコストは相当なものです。 |
| Among the 39 per cent of businesses and 26 per cent of charities that identify breaches or attacks, one in five (21% and 18% respectively) end up losing money, data or other assets. One-third of businesses (35%) and four in ten charities (40%) report being negatively impacted regardless, for example because they require new post-breach measures, have staff time diverted or suffer wider business disruption. |
侵害や攻撃を確認した企業の39%と慈善団体の26%のうち、5人に1人(それぞれ21%と18%)が、最終的に金銭、データ、その他の資産を失っています。また、3分の1の企業(35%)と10人に4人の慈善団体(40%)は、侵害後に新たな対策が必要になったり、職員の時間が流用されたり、より広範なビジネス上の混乱に見舞われたりするなど、悪影響を受けたと報告しています。 |
| These figures have shifted gradually over time – the proportions experiencing negative outcomes or impacts in 2021 are significantly lower than in 2019 and preceding years. This is not due to breaches or attacks becoming less frequent, with no notable change in frequency this year. Instead, it may, in part, be due to more organisations implementing basic cyber security measures following the introduction of the General Data Protection Regulation (GDPR) in 2018. It could also reflect other trends such as the rising use of cloud storage and backups. |
これらの数字は、時間の経過とともに徐々に変化しており、2021年にマイナスの結果や影響を受けた割合は、2019年およびそれ以前の年に比べて大幅に減少しています。これは、侵害や攻撃の頻度が低くなったことによるものではなく、今年も頻度に目立った変化はありません。むしろ、2018年に一般データ保護規則(GDPR)が導入されたことで、基本的なサイバーセキュリティ対策を実施する組織が増えたことが一因と考えられます。また、クラウドストレージやバックアップの利用が増えていることなど、他のトレンドを反映している可能性もあります。 |
| Nevertheless, where businesses have faced breaches with material outcomes, the average (mean) cost of all the cyber security breaches these businesses have experienced in the past 12 months is estimated to be £8,460. For medium and large firms combined, this average cost is higher, at £13,400. There are too few charities in the sample to report average costs in this way, but the overall costs recorded for businesses and charities follow a similar pattern. |
とはいえ、企業が重大な結果を伴う侵害に直面した場合、これらの企業が過去12カ月間に経験したすべてのサイバーセキュリティ侵害の平均(平均)コストは8,460ポンドと推定されます。中堅企業と大企業であれば、この平均コストはさらに高くなり、13,400ポンドとなります。サンプルに含まれる慈善団体の数が少なすぎるため、この方法で平均コストを報告することはできませんが、企業と慈善団体で記録された全体的なコストは同じ傾向を示しています。 |
| Despite COVID-19 stretching many organisation’s cyber security teams to their limits, cyber security remains a priority for management boards. But it has not necessarily become a higher priority under the pandemic. |
COVID-19によって多くの組織のサイバーセキュリティチームが限界に達しているにもかかわらず、サイバーセキュリティは依然として経営陣の優先事項となっています。しかし、パンデミックの影響で、必ずしも優先順位が高くなったわけではありません。 |
| Three-quarters (77%) of businesses say cyber security is a high priority for their directors or senior managers, while seven in ten charities (68%) say this of their trustees. While there have been minor fluctuations in these findings over the past three years, cyber security remains a higher priority compared to when we first surveyed each group (i.e. 69% in 2016 for businesses and 53% in 2018 for charities). |
企業の4分の3(77%)は、取締役や上級管理職にとってサイバーセキュリティが最優先事項であると回答しており、慈善団体の7割(68%)は、評議員が同様の回答をしています。過去3年間でこれらの調査結果には若干の変動がありますが、それぞれのグループを最初に調査したときと比較すると、サイバーセキュリティは依然として高い優先度となっています(例:企業は2016年に69%、慈善団体は2018年に53%)。 |
| Half of businesses (50%) and four in ten charities (40%) update their senior management teams about the actions taken on cyber security at least quarterly, in line with the 2020 results. However, the percentage of charities reporting that their senior managers are never updated on cyber security has increased since last year (to 23%, vs. 12% in 2020). |
企業の半数(50%)と慈善団体の4割(40%)は、2020年の結果と同様に、少なくとも四半期ごとに、サイバーセキュリティに関する行動について上級管理チームに報告しています。しかし、上級管理職がサイバーセキュリティに関するアップデートを受けたことがないと回答した慈善団体の割合は、昨年より増加しています(23%、2020年は12%)。 |
| Overwhelmingly, businesses (84%) and charities (80%) say COVID-19 has made no change to the importance they place on cyber security. The qualitative research suggests that some organisations have increased their investment in IT and cyber security in response to the pandemic. Many organisations adopted new security solutions, including cloud security and multi-factor authentication, or new rules requiring VPN connections to access files. |
企業(84%)と慈善団体(80%)の圧倒的多数が、COVID-19によってサイバーセキュリティに置く重要性に変化はないと答えています。定性調査によると、パンデミックに対応して、ITやサイバーセキュリティへの投資を増やした組織もあるようです。多くの組織では、クラウドセキュリティや多要素認証などの新しいセキュリティソリューションを採用したり、ファイルにアクセスする際にVPN接続を必要とする新しいルールを導入したりしました。 |
| These changes were often characterised as being about business and IT service continuity. However, in some cases, interviewees felt that management boards and end users did not fully appreciate the role of cyber security in facilitating long-term business continuity. In the immediacy of the pandemic, cyber security measures were sometimes viewed in the short term as being in conflict with business continuity, rather than complementing it. |
このような変化は、多くの場合、ビジネスとITサービスの継続性に関わるものとされています。しかし、経営陣やエンドユーザーが、長期的な事業継続を促進するためのサイバーセキュリティの役割を十分に理解していないと感じるケースもありました。パンデミックが発生した直後は、サイバーセキュリティ対策は短期的には事業継続を補完するものではなく、事業継続と相反するものとみなされることがありました。 |
| The COVID-19 pandemic has led to significant changes in ways of working. This has made cyber security harder for many organisations. |
COVID-19のパンデミックは、仕事のやり方に大きな変化をもたらしました。このことが、多くの組織にとってサイバーセキュリティを難しくしています。 |
| In qualitative interviews, many organisations explained that COVID-19 and the ensuing move to home working initiated substantial changes in their digital infrastructure. Many issued laptops or tablets to staff, set up Virtual Private Networks (VPNs) or expanded existing VPN capacity, started using cloud servers and had to quickly approve new software. In a new question this year, the survey finds that a third of businesses (34%) and a fifth of charities (20%) have a VPN. |
インタビューでは、多くの組織が、COVID-19とそれに伴う在宅勤務への移行によって、デジタルインフラの大幅な変更を余儀なくされたと説明しています。多くの企業は、職員にノートPCやタブレットを支給し、仮想プライベートネットワーク(VPN)を構築したり、既存のVPNの容量を拡大したり、クラウドサーバの使用を開始したり、新しいソフトウェアを迅速に承認しなければなりませんでした。今回の調査で新たに聞いた設問で、企業の3分の1(34%)、チャリティ団体の5分の1(20%)がVPNを導入していることがわかりました。 |
| These changes have led to new challenges for organisations to contend with, as part of their cyber security management approaches: |
このような変化に伴い、組織はサイバーセキュリティ管理アプローチの一環として、新たな課題に取り組むことになりました。 |
| ・Direct security and user monitoring have become harder in organisations where staff are working remotely. As previously noted, fewer businesses are deploying security monitoring tools than in 2020 (down from 40% to 35%). Fewer businesses (32%, vs. 38% in 2020) and charities (29% vs. 38%) are now undertaking any form of user monitoring. |
・職員がリモートで仕事をしている組織では、直接的なセキュリティとユーザの監視が難しくなっています。前述のとおり、セキュリティ監視ツールを導入している企業は、2020年に比べて減少しています(40%から35%に減少)。また、何らかの形でユーザー監視を行っている企業(32%、2020年は38%)や慈善団体(29%、38%)も少なくなっています。 |
| ・Upgrading hardware, software and systems has also become more difficult. With staff working at home, there are more endpoints for organisations to keep track of. Fewer businesses (83%, vs. 88% in 2020) and charities (69% vs. 78%) report having up-to-date malware protection. Fewer businesses (78% vs. 83%) and charities (57% vs. 72%) have set up network firewalls. In large businesses in particular, having laptops with unsupported versions of Windows is a significant security risk (affecting 32% of large businesses). |
・また、ハードウェア、ソフトウェア、システムのアップグレードも難しくなっています。スタッフが自宅で仕事をするようになったことで、企業が管理すべきエンドポイントが増えています。最新のマルウェア対策を行っていると回答した企業(83%、2020年には88%)と慈善団体(69%、78%)は少ないです。ネットワークにファイアウォールを設置している企業(78%対83%)と慈善団体(57%対72%)は少ないです。特に大企業では、サポートされていないバージョンのWindowsを搭載したノートPCを使用していることが、重大なセキュリティリスクとなっています(大企業の32%が影響を受けています)。 |
| ・More generally, the pandemic had stretched resources and led to competing priorities in IT and cyber security teams. In some cases, there was a perceived conflict between prioritising IT service continuity and maintenance work, and aspects of cyber security such as patching software. |
・さらに一般的には、パンデミックの影響でリソースが逼迫し、IT部門とサイバーセキュリティ部門の優先順位が競合することになりました。場合によっては、ITサービスの継続性や保守作業を優先することと、ソフトウェアへのパッチ適用などのサイバーセキュリティの側面との間に矛盾が生じていると感じられることもありました。 |
| COVID-19 has been an unexpected and unprecedented challenge for organisations. But in terms of cyber security, the findings highlight that there is more they can do to plan for, and ensure they are resilient to, future uncertainties. |
COVID-19は、企業にとって想定外の未曾有の課題となりました。しかし、サイバーセキュリティの観点から見ると、将来の不確実性に備えて計画を立て、それに対する耐性を確保するためにできることがあることが、今回の調査結果で明らかになりました。 |
| The survey findings highlight that a minority of organisations overall have taken actions in the following areas – although they are far more common among medium and large businesses: |
今回の調査結果では、以下の分野で対策を講じている企業は全体の中で少数であることが明らかになりました。 |
| ・taking out some form of cyber insurance (43% of businesses and 29% of charities) – this is up from 32 per cent for businesses in 2020 |
・何らかのサイバー保険に加入している(企業の43%、慈善団体の29%) - 2020年の企業の32%から増加している。 |
| ・undertaking cyber security risk assessments (34% and 32%) |
・サイバーセキュリティのリスク評価を実施する(34%、32 |
| ・testing staff, such as through mock phishing exercises (20% and 14%) |
・模擬フィッシング演習などによるスタッフのテスト(20%と14%)。 |
| ・carrying out cyber security vulnerability audits (15% and 12%) |
・サイバーセキュリティの脆弱性監査の実施(15%と12 |
| ・reviewing cyber security risks posed by suppliers (12% and 8%). |
・サプライヤーのサイバーセキュリティリスクを検討する(12%と8%)。 |
| As the UK emerges from the COVID-19 pandemic, organisations might also consider what more they can do to manage cyber security risks in a “blended” working environment (i.e. where staff are regularly working both in offices and at home): |
英国がCOVID-19の流行から脱却するにあたり、企業は、「混合型」の職場環境(職員がオフィスと自宅の両方で定期的に仕事をしているような環境)におけるサイバーセキュリティリスクを管理するために何ができるかを検討することもできるでしょう。 |
| ・Three in ten businesses (31%) and slightly fewer charities (27%) have a business continuity plan that covers cyber security. This was a new question for 2021. |
・3割の企業と慈善団体(31%と27%)は、サイバーセキュリティをカバーする事業継続計画を策定しています。これは、2021年の新しい質問でした。 |
| ・A quarter of businesses and charities (23% of each) have cyber security policies that cover home working. A fifth of businesses (18%) and a quarter of charities (23%) have policies that cover the use of personal devices for work. The extent to which these areas feature in cyber security policies has not changed significantly since last year. *Over four in ten businesses (46%) and three in ten charities (30%) are using smart (i.e. network-connected) devices in workplaces. This was also a new question for 2021, and highlights a potential new area of cyber risk for organisations to address. |
・企業と慈善団体の4分の1(各23%)は、在宅勤務をカバーするサイバーセキュリティポリシーを持っています。企業の5分の1(18%)、慈善団体の4分の1(23%)が、個人所有のデバイスを仕事で使用することをカバーするポリシーを持っています。これらの分野がサイバーセキュリティポリシーに盛り込まれている範囲は、昨年から大きな変化はありません。*10社のうち4社以上(46%)、10団体のうち3団体(30%)が職場でスマートデバイス(ネットワークに接続されたデバイス)を使用している。これは、2021年の新たな設問でもあり、組織が取り組むべきサイバーリスクの新たな領域となる可能性を示しています。 |
| The qualitative research also highlights organisations’ cyber security ambitions for the future and the broader challenges they expect to face. Many expect to make continuous improvements in their cyber security, which includes, for example, rolling out multi-factor authentication, or tweaking policies and processes to cover Software as a Service (SaaS). Some also expect to move further away from an approach of locking down user activity, towards one that prioritises functionality and flexibility. Cyber security teams may therefore need to realign themselves to wider strategic business needs in some cases, emphasising how staff can use new technologies, software and platforms securely rather than banning them. |
今回の定性調査では、企業が将来的に直面するであろうサイバーセキュリティ上の課題についても明らかになりました。例えば、多要素認証の導入や、SaaS(Software as a Service)を対象としたポリシーやプロセスの調整などが挙げられます。また、ユーザーの行動を制限するアプローチから、機能性と柔軟性を優先するアプローチへと移行することも予想されます。そのため、サイバーセキュリティチームは、新しいテクノロジーやソフトウェア、プラットフォームの使用を禁止するのではなく、スタッフがいかに安全に使用できるかを強調するなど、より広範な戦略的ビジネスニーズに対応する必要がある場合もあります。 |
Recent Comments