英国 デジタル・文化・メディア・スポーツ省 サイバーセキュリティ侵害を起こした組織にインタビューした報告書...

こんにちは、丸山満彦です。

英国のデジタル・文化・メディア・スポーツ省がサイバーセキュリティ侵害を起こした組織にインタビューした報告書、"Exploring Organisational Experiences of Cyber Security Breaches" を公表していますね。。。

これはこれで、興味深いです。。。事故に遭って初めて本気になるのはどこでも同じかも。。。

 

● U.K. Government

・2022.08.17 Exploring organisational experiences of cyber security breaches

 

Exploring organisational experiences of cyber security breaches	サイバーセキュリティ侵害の組織的な経験を探る
An in-depth qualitative study with a range of businesses and organisations which have been affected by cyber security breaches.	サイバーセキュリティ侵害の影響を受けた様々な企業や組織を対象とした詳細な定性的調査。
Details	詳細
In March 2021 the Department for Digital, Culture, Media & Sport (DCMS) published the Cyber Security Breaches Survey of UK businesses, charities, and education institutions as part of the National Cyber Security Programme. The findings help businesses and organisations understand the nature and significance of the cyber security threats they face, and what others are doing to stay secure. It also supports the government to shape future policy in this area.	2021年3月、デジタル・文化・メディア・スポーツ省（DCMS）は、国家サイバーセキュリティプログラムの一環として、英国の企業、慈善団体、教育機関を対象とした「サイバーセキュリティ侵害調査」を発表した。この調査結果は、企業や組織が直面するサイバーセキュリティの脅威の性質と重要性、および安全を維持するために他の組織が行っていることを理解するのに役立つ。また、政府がこの分野で今後の政策を策定する際の参考にもなる。
Building on this earlier research, in January 2022 DCMS commissioned an in-depth qualitative study with a range of businesses and organisations which have been affected by cyber security breaches. The specific aims of this research were as follows:	この先行研究を踏まえ、DCMSは2022年1月、サイバーセキュリティ侵害の影響を受けた様々な企業や組織に詳細な定性調査を依頼した。本調査の具体的な目的は以下の通りである。
・Understand the level of existing cyber security before a breach	・侵害前の既存のサイバーセキュリティのレベルを理解する。
・Determine the type of cyber attack to which the organisation was subject	・組織が受けたサイバー攻撃の種類を特定する。
・Understand how businesses and organisations act in the immediate, medium, and long-term aftermath of a breach	・侵害が発生した直後、中期的、長期的に、企業や組織がどのように行動するかを把握する。
・Investigate the impacts upon the business or organisations immediately and into the future	・企業や組織が直ちに、そして将来にわたって受ける影響を調査する。
・How cyber security arrangements have changed in the wake of a cyber breach	・サイバー攻撃を受けて、サイバーセキュリティの仕組みがどのように変化したかを調べる。

・[PDF] Exploring Organisational Experiences of Cyber Security Breaches

目次...

1 Glossary	1 用語集
2 Research objectives	2 研究目的
3 Methodology	3 調査方法
4 Key findings	4 主な調査結果
5 Case studies	5 ケーススタディ
6 Report writers and contributors	6 報告書の執筆者と寄稿者
7 Appendices	7 附属書
8 Our standards and accreditations	8 我々の基準および認定

 

4. 主な調査結果の部分...

4   Key findings	4 主な調査結果
The ten organisations that participated in this study have all suffered a serious cyber security attack within the last four years. The similarities between them largely end there, as the organisations vary widely in scale, level of IT resourcing, cyber security measures in place prior to the attack, and their response to the attack.	この調査に参加した 10 の組織は、いずれも過去 4 年以内に深刻なサイバーセキュリティ攻撃を受けたことがある。組織の規模、ITリソースのレベル、攻撃前のサイバーセキュリティ対策、攻撃への対応などが大きく異なるため、これらの組織の類似点はほぼこれにとどまる。
Nonetheless, several themes do emerge from this disparate set of study participants. Firstly, there was a consensus that cyber-crime is a significant and growing business risk, with cyber attacks increasing in both volume and technical sophistication.	それでも、この異質な研究参加者たちから、いくつかのテーマが浮かび上がってきました。まず、サイバー犯罪が重大かつ拡大するビジネスリスクであり、サイバー攻撃はその量と技術的洗練度の両方において増加しているという点で意見が一致した。
Knowledge of this fast changing ‘threat landscape’ did, however, vary significantly between study participants.	しかし、この急速に変化する「脅威の状況」についての知識は、調査参加者によって大きく異なることが分かった。。
In response to these increasing levels of risk, nearly all participants acknowledged the need for ever greater levels of vigilance and investment in cyber-security, as the controls that were appropriate a few years ago are now seen as less effective. That said, while interviewees from medium and large organisations said they tended to have formal plans in place and budget allocated for further cyber security investment, interviewees from smaller organisations were more likely to assert they did not, largely citing resource constraints. Their response to the perceived growing cyber security risk therefore appears to be largely piecemeal and reactive.	こうしたリスクの高まりに対応して、ほぼすべての参加者が、サイバーセキュリティに対する警戒心と投資をこれまで以上に強化する必要性を認めている。しかし、中堅・大企業のインタビューでは、サイバーセキュリティへのさらなる投資のために正式な計画を策定し、予算を配分している傾向があると回答したのに対し、中小企業のインタビューでは、主にリソースの制約を理由に、そうではないと断言する傾向が見られました。そのため、拡大するサイバーセキュリティリスクへの対応は、断片的かつ後手に回っているようである。
Unsurprisingly, given the broad mix of organisations included in the study, the cyber security arrangements and technology deployed also varied enormously. Nevertheless, nearly all participants indicated that their organisation took cyber security ‘seriously’ prior to the breach; indeed, most characterised their arrangements as on a par with or better than their peers.	当然のことながら、今回の調査では、さまざまな組織が参加したため、サイバーセキュリティに関する取り決めや導入されている技術も実にさまざまなものとなった。しかし、ほぼすべての参加者が、侵害が発生する前に、自分の組織がサイバーセキュリティに「真剣に」取り組んでいたと回答しており、実際、ほとんどの参加者が、自社の体制は同業他社と同等かそれ以上であると評価している。
The majority felt their organisations put more of an emphasis on technology than employees to stay secure. For some, technology was a tool to ‘help people do the right thing’, reflecting the widespread notion that people and culture are more of a cybersecurity ‘weak spot’ than the technology deployed at their organisation.	大半の参加者は、組織がセキュリティを維持するために、従業員よりもテクノロジーに重きを置いていると感じていた。これは、サイバーセキュリティの「弱点」は、組織で導入されているテクノロジーよりも、人と文化にあるという考え方が広く浸透していることを反映している。
Participants also reported varying levels of support and interest in cyber security from the leadership teams within their respective organisations. Encouragingly, most said that their leadership had grasped the importance of cyber security and was increasingly supportive of investing in it, with some already treating it as a ‘board level business problem’. At the same time, not all were sure that their leadership teams fully understood the ‘scale of the threat’, or the ‘cultural transition’ required to meet the growing cyber security challenge.	また、参加者は、各組織のリーダーシップ・チームからのサイバーセキュリティに対する支援や関心の度合いもさまざまであると報告している。心強いことに、ほとんどの指導層はサイバーセキュリティの重要性を理解し、その投資にますます協力的になっており、中にはすでに「取締役会レベルのビジネス問題」として扱っている人もいる。一方で、指導層が「脅威の規模」や、増大するサイバーセキュリティの課題に対応するために必要な「文化の変遷」を完全に理解しているかどうかについては、全員が確信を持っているわけではなかった。
Therefore, for numerous participants, one positive outcome of the breaches they experienced was in demonstrating that ‘these cyber threats are real’ to leadership, underscoring the importance of cyber security. Consequently, for many organisations in this study, leadership became more engaged in the cyber security challenge postbreach and has since demonstrated more serious intent to help the organisation improve.	したがって、多くの参加者にとって、自分たちが経験した侵害のポジティブな結果の1つは、「これらのサイバー脅威は本物である」ことをリーダーシップに示し、サイバーセキュリティの重要性を強調することであった。その結果、この調査に参加した多くの組織では、サイバーセキュリティの課題に取り組むようになり、それ以来、組織の改善を支援するためにより真剣な意思を示すようになった。
Turning to the breaches themselves, in most instances organisations in the study were able to determine the cause and fix the ‘weakness’, often drawing on the support of external vendors. For some participants, the breach was a cause of considerable personal stress and upheaval – some of which has proved long lasting - while others were more sanguine, characterising the episode as an inconvenience rather than a calamity.	侵害そのものに目を向けると、ほとんどの場合、調査対象の組織は原因を特定し、「弱点」を修正することができたが、多くの場合、外部ベンダーの支援を得ることができた。参加者の中には、情報漏えいが個人的に大きなストレスと動揺の原因となり、それが長期化するケースもあったが、その一方で、この出来事を災難というよりはむしろ不都合な出来事として捉え、より悲観的になった参加者もいた。
Once their breach was fixed, relatively few organisations in the study tried or were able to accurately quantify its financial impact (although most participants were able to provide broad estimates, typically covering the cost of lost sales, employee downtime and IT consultancy).	違反が修正された後、その財務的影響を正確に定量化しようとした、あるいはできた組織は比較的少なかった（ほとんどの参加者は、売上高の損失、従業員のダウンタイム、ITコンサルティングの費用をカバーする大まかな見積もりを提供することができたが）。
Similarly, very few organisations in the study implemented a formal ‘lessons learned’ process in the aftermath of the breach. Despite this, most participants felt that they were now better protected than prior to the attack, having since strengthened aspects of their cyber security technology, policy, or staff training.	同様に、情報漏えいの後に正式な「教訓」プロセスを実施した組織は、この調査ではごくわずかであった。それでも、ほとんどの参加者は、サイバーセキュリティ技術、ポリシー、スタッフのトレーニングなどの面を強化し、攻撃前よりも保護が強化されたと感じている。
The role of the UK government in addressing cybercrime	サイバー犯罪に対処するための英国政府の役割
Some participants spoke positively about the support available from government in relation to cyber security as well as its wider role combatting cybercrime. This mostly reflected their experiences working with the National Cyber Security Centre (NCSC) or other bodies, the information they have received from Government agencies or their views on the positive impact of General Data Protection Regulations (GDPR).	一部の参加者は、サイバーセキュリティに関する政府からの支援や、サイバー犯罪に対処するための政府の幅広い役割について肯定的に語っている。その多くは、ナショナル・サイバー・セキュリティ・センター（NCSC）やその他の組織と連携した経験、政府機関から得た情報、一般データ保護規則（GDPR）のポジティブな影響に関する意見を反映している。
I think GDPR was a very good thing as it made businesses comply to a standard which was agreed universally. GDPR has caused businesses to spend a lot more on data and tracking and I think businesses now understand they have a responsibility to keep their data secure	GDPRは、世界的に合意された基準に企業が準拠するようになったので、非常に良いことだと思う。GDPRによって、企業はデータとトラッキングに多くの費用を費やすようになり、企業はデータを安全に保つ責任があることを理解したと思う。
IT Manager, large organisation	ITマネージャー、大規模組織
I'm impressed with the amount of information that is available [from government] and directed at small, medium and large organisations…. Perhaps they should target the non-technical CEOs [Chief Executive Officers] more proactively as I feel a lot of their communications are simply preaching to the converted	政府から提供される、中小企業や大企業に向けた情報量には感心します。おそらく、彼らは非技術的なCEO（最高経営責任者）をもっと積極的にターゲットにすべきである。彼らのコミュニケーションの多くは、単に改宗者に説教しているように感じるからである。
IT Director, large organisation	ITディレクター、大規模組織
Overall, we found the government agencies very useful as there was somebody there you can talk to, and the NCSC actually told us what had happened to our system.	全体として、政府機関には相談できる人がいて、とても役に立ちました。また、NCSCは実際に私たちのシステムに何が起こったかを教えてくれた。
IT Manager, medium organisation	IT マネージャー、中規模組織
When asked what else the government should be doing to address the growing cyber security challenges faced by organisations, around half of the interviewees who participated in the research thought it should focus primarily on raising awareness and education:	組織が直面するサイバーセキュリティの課題の増大に対処するために、政府が他に何をすべきかという質問に対しては、調査に参加したインタビュー対象者の約半数が、主に意識向上と教育に焦点を当てるべきと考えている。
There are probably hundreds of other companies out there like us who are not aware of what can happen…. So I think it is important that the government builds awareness. We are members of the BVLRA [British Vehicle Rental and Leasing Association, an organisation which consults with the government to maintain standards and help members deliver safe, sustainable and affordable road transport to millions of customers and business] who give us updates on what is happening in the industry …. I think they should include something on cyber security provided by the government.	私たちのように、何が起こり得るかを知らない企業は、おそらく何百とあるはずである。だから、政府が意識を高めることが重要だと思う。私たちはBVLRA（英国自動車レンタル・リース協会）のメンバーであるが、この団体は、基準を維持するために政府と協議し、メンバーが安全で持続可能かつ安価な道路輸送を何百万人もの顧客と企業に提供できるよう支援している。政府が提供するサイバーセキュリティに関する情報を含めるべきだと思う。
General Manager, small organisation	ゼネラルマネージャー、小規模組織
There's not a lot of awareness amongst the public. I do not see much in the media on cyberattacks…. And we're not really hearing anything on this as a business. So, I think some sort of cyber crime prevention campaign roll out wouldn't go amiss.	一般市民の間ではあまり認識されていない。サイバー攻撃に関するメディアをあまり見かけない......。そして、ビジネスとしてこの件に関する情報を耳にすることもあまりない。だから、サイバー犯罪防止キャンペーンのようなものを展開してもいいのではないかと思う。
IT Manager, small organisation	ITマネージャー、小規模組織
Some participants felt that the government’s focus should be on raising awareness amongst the general public rather than companies, as ‘consumers keep getting hit’ and they need to ‘stop people being compromised’.	参加者の中には、「消費者が被害に遭い続けている」「人々が危険にさらされるのを防ぐ必要がある」ため、政府の関心は企業よりも一般市民の意識を高めることに向けられるべきであると考える人もいた。
A minority of participants did not, however, see a pressing need for further government involvement in improving cyber security, either because ‘people don't know what cyber security is and they won't listen’, or because the government is not a credible source of advice for businesses:	しかし、少数の参加者は、「人々はサイバーセキュリティが何であるかを知らないので、聞く耳を持たない」、あるいは「政府は企業にとって信頼できるアドバイスの源ではない」という理由から、サイバーセキュリティの向上に対する政府のさらなる関与が急務だとは考えていない。
I don't think there's much more the government should be doing as cyber security is down to the individual company and who they are employing. It is the company's responsibility to make sure people are adequately trained and competent when it comes to security, and I think legislation is already in place.	サイバーセキュリティは個々の企業やその雇用者に委ねられているので、政府がこれ以上すべきことはないと思う。セキュリティに関して、従業員に適切な訓練と能力を身につけさせるのは企業の責任であり、すでに法律が整備されていると思う。
Head of Digital, Medium sized organisation	デジタル部門責任者、中規模組織
The expertise I bring in comes from commercial sources. So, I have not taken the government seriously as a source of what to do.	私が導入している専門知識は、商業的なソースから得たものである。であるから、私は政府を、何をすべきかの情報源として真剣に受け止めてはいない。
IT and Transformation Director	IT・トランスフォーメーションディレクター
Some interviewees asserted that government needed to take cyber security ‘more seriously’, suggesting harsher punishments for cybercrime as a form of a deterrent, and by ‘acknowledging that foreign states are behind some of these attacks’ and addressing this.	一部のインタビューでは、政府はサイバーセキュリティに「より真剣に」取り組む必要があると主張し、抑止力の一種としてサイバー犯罪に対する厳罰化を提案し、「これらの攻撃の背後に外国がいることを認め」、これに対処することで、サイバー犯罪の抑止を図っている。
Finally, two out of twenty interviewees who participated in this research requested more regionally based cyber awareness training, while one other called for the government to do more to ‘bring together academics, government, and business as this [cyber security] collaboration is hugely important’.	最後に、本調査に参加した20名のインタビュアーのうち2名は、地域ごとにサイバー意識に関するトレーニングを行うことを要望し、他の1名は、政府に対して「産官学を結びつけることが非常に重要である」と訴えている。