英国サイバーセキュリティ侵害調査 2023年 (2023.04.19): まるちゃんの情報セキュリティ気まぐれ日記

September 2023
Sun	Mon	Tue	Wed	Thu	Fri	Sat
					1	2
3	4	5	6	7	8	9
10	11	12	13	14	15	16
17	18	19	20	21	22	23
24	25	26	27	28	29	30

2023.05.11

英国サイバーセキュリティ侵害調査 2023年 (2023.04.19)

こんにちは、丸山満彦です。

英国では、2017年？から、毎年サイバーセキュリティ侵害調査の報告をしています。日本との比較においても参考になるところがあるようにも思います。また、トレンドを見るという点でもよいかもしれません。

しかし、ちゃんと公式統計としてとっているのはすごいですね。。。こういう統計をベースに政策に反映していくという姿勢はやはり英国ですね。。。

⚫︎ Gov U.K.

・2023.04.19 Cyber security breaches survey 2023

・Cyber security breaches survey 2023

目次...

Summary	概要
Chapter 1: Introduction	第1章：はじめに
Chapter 2: Awareness and attitudes	第2章意識と態度
Chapter 3: Approaches to cyber security	第3章サイバーセキュリティへの取り組み
Chapter 4: Prevalence and impact of breaches or attacks	第4章侵入や攻撃の有病率と影響度
Chapter 5: Dealing with breaches or attacks	第5章破損や攻撃への対応
Chapter 6: Cyber crime	第6章サイバー犯罪
Chapter 7: Conclusions	第7章：結論
Appendix A: Guide to statistical reliability	附属書A：統計的信頼性についてのガイド
Appendix B: Glossary	附属書B：用語集
Appendix C: Further information	附属書C：その他の情報

概要...

Summary	概要
Identification of cyber security breaches and attacks	サイバーセキュリティの侵害や攻撃の特定
Cyber security breaches and attacks remain a common threat. However, smaller organisations are identifying them less than last year. This may reflect that senior managers in smaller organisations view cyber security as less of a priority in the current economic climate than in previous years, so are undertaking less monitoring and logging of breaches or attacks.	サイバーセキュリティの侵害や攻撃は、依然として一般的な脅威である。しかし、小規模な組織では、昨年よりもこれらの脅威を認識する機会が減っている。これは、小規模組織のシニアマネージャーが、現在の経済情勢においてサイバーセキュリティの優先度を例年よりも低く見ているため、侵害や攻撃の監視やロギングをあまり行っていないことを反映していると思われる。
・32% of businesses and 24% of charities overall recall any breaches or attacks from the last 12 months. This is much higher for medium businesses (59%), large businesses (69%) and high-income charities with £500,000 or more in annual income (56%).	・過去12ヶ月間の侵害や攻撃を覚えている企業は全体の32％、慈善団体は24％であった。これは、中堅企業（59％）、大企業（69％）、年間収入50万ポンド以上の高所得の慈善団体（56％）ではるかに高くなっている。
・This is a decrease from 39% of businesses and 30% of charities in 2022. The drop is driven by smaller organisations – the results for medium and large businesses, and high-income charities, remain at similar levels to last year.	・これは、2022年の企業の39％、慈善団体の30％から減少している。この減少は小規模な組織によるもので、中堅・大企業と高所得の慈善団体の結果は、昨年と同様のレベルを維持している。
・Among those identifying any breaches or attacks, we estimate that the single most disruptive breach from the last 12 months cost each business, of any size, an average of approximately £1,100. For medium and large businesses, this was approximately £4,960. For charities, it was approximately £530.	・侵害や攻撃を確認した企業のうち、過去12ヶ月間に最も破壊的な被害を受けた単一の侵害は、規模を問わず、各企業に平均約1,100ポンドの損害を与えたと推定している。中堅・大企業の場合は、約4,960ポンドであった。慈善団体では、約530ポンドであった。
・The proportion of micro businesses saying cyber security is a high priority has decreased from 80% in 2022 to 68% this year. Qualitative evidence suggests that cyber security has dropped down the priority lists for these smaller organisations, relative to wider economic concerns like inflation and uncertainty.	・サイバーセキュリティの優先度が高いと答えた零細企業の割合は、2022年の80%から今年は68%に減少している。定性的な証拠によると、インフレや不確実性などのより広い経済的な懸念に相対して、サイバーセキュリティがこれらの小規模な組織の優先順位リストに落ちていることが示唆される。
Cyber hygiene	サイバー衛生
The most common cyber threats are relatively unsophisticated, so government guidance advises businesses and charities to protect themselves using a set of “cyber hygiene” measures. A majority of businesses and charities have a broad range of these measures in place. The most common are updated malware protection, cloud back-ups, passwords, restricted admin rights and network firewalls – each administered by two-thirds or more of businesses and half or more charities. However, across the last three waves of the survey, some areas of cyber hygiene have seen consistent declines among businesses. This includes:	最も一般的なサイバー脅威は比較的単純なものであるため、政府のガイダンスでは、一連の「サイバー衛生」対策を用いて企業や慈善団体を保護するよう助言している。大多数の企業や慈善団体は、これらの対策を幅広く導入している。最も一般的なのは、マルウェア対策、クラウドバックアップ、パスワード、管理者権限の制限、ネットワークファイアウォールで、それぞれ企業の3分の2以上、慈善団体の半数以上が導入している。しかし、過去3回の調査において、一部のサイバー衛生対策は、企業の間で一貫して減少している。これには以下が含まれる：
・use of password policies (79% in 2021, vs. 70% in 2023)	・パスワードポリシーの使用（2021年79％、2023年70％)
・use of network firewalls (78% in 2021 vs. 66% in 2023)	・ネットワーク・ファイアウォールの利用（2021年78％、2023年66％）。
・restricting admin rights (75% in 2021, vs. 67% in 2023)	・管理者権限の制限（2021年75％、2023年67％）。
・policies to apply software security updates within 14 days (43% in 2021, vs. 31% in 2023).	・14日以内にソフトウェアのセキュリティアップデートを適用するポリシー（2021年43％、2023年31％）。
These trends mainly reflect shifts in the micro business population and, to a lesser extent, small and medium businesses – large business results have not changed.	これらの傾向は、主に零細企業や、それ以下の中小企業におけるシフトを反映しており、大企業の結果は変わっていない。
Risk management and supply chains	リスクマネジメントとサプライチェーン
A larger proportion of businesses take actions to identify cyber risks than charities. Larger businesses are the most advanced in this regard. For the first time, the majority of large businesses are reviewing supply chain risks, although this is still relatively rare across organisations overall.	サイバーリスクを特定するための行動をとっている企業の割合は、慈善団体よりも多い。この点では、大企業が最も進んでいる。大企業の大多数が初めてサプライチェーンのリスクを見直したが、これは組織全体ではまだ比較的まれである。
・Three in ten businesses have undertaken cyber security risk assessments (29%, vs. 27% of charities) in the last year – rising to 51% of medium businesses and 63% of large businesses.	・10社に3社が過去1年間にサイバーセキュリティのリスク評価を実施した（29％、慈善団体では27％）、中堅企業では51％、大企業では63％に上った。
・A similar proportion of businesses deployed security monitoring tools (30%, vs. 19% of charities) – rising to 53% of medium businesses and 72% of large businesses.	・セキュリティ監視ツールを導入した企業も同程度の割合（30％、慈善団体では19％）で、中堅企業では53％、大企業では72％に上った。
・Under four in ten businesses (37%) and a third of charities (33%) report being insured against cyber security risks – rising to 63% of medium businesses and 55% of large businesses (i.e. cyber insurance is more common in medium businesses than large ones).	・10社に4社以下（37％）、慈善団体の3分の1（33％）がサイバーセキュリティリスクに保険をかけていると回答しており、中堅企業では63％、大企業では55％に上る（つまり、サイバー保険は大企業よりも中堅企業でより一般的になっている）。
・Just over one in ten businesses say they review the risks posed by their immediate suppliers (13%, vs. 11% of charities). More medium businesses (27%) and large businesses (55%) review immediate supplier risks. The latter result is up from 44% of large businesses in 2022.	・10社に1社強の企業が、直接の取引先がもたらすリスクを見直すと回答している（13％、慈善団体では11％）。中堅企業（27％）および大企業（55％）では、より多くの企業が直属のサプライヤーのリスクを見直す。後者の結果は、2022年の大企業の44%から増加している。・
・Qualitative data suggests that receiving messaging around supply chain risks from bodies such as the National Cyber Security Centre (NCSC), or having the topic raised in audits, helps encourage organisations to take action in this area.	・定性的データによると、NCSC（National Cyber Security Centre）などの機関からサプライチェーンリスクに関するメッセージを受け取ったり、監査でこのテーマが取り上げられたりすることで、組織がこの分野で対策を講じることを促すことができる。
Board engagement and corporate governance	取締役会の関与とコーポレートガバナンス
Board engagement and corporate governance approaches towards cyber security tend to be more sophisticated in larger organisations, although corporate reporting of cyber risks remains relatively uncommon, even among large businesses.	サイバーセキュリティに対する取締役会の関与とコーポレートガバナンスのアプローチは、大企業ほど洗練されている傾向があるが、サイバーリスクの企業報告は大企業でも比較的少ない。
・Three in ten businesses (30%) and charities (31%) have board members or trustees explicitly responsible for cyber security as part of their job role – rising to 41% of medium businesses and 53% of large businesses.	・10社に3社の企業（30％）と慈善団体（31％）には、職務の一部としてサイバーセキュリティを明確に担当する取締役または評議員がおり、中堅企業では41％、大企業では53％に上る。
・21% of medium businesses and 30% of large businesses have heard of the NCSC’s Board Toolkit – rising from 11% and 22% respectively in 2020 (when it was introduced).	・NCSCのボードツールキットを知っているのは、中堅企業の21%、大企業の30%で、導入された2020年のそれぞれ11%、22%から上昇した。
・49% of medium businesses, 68% of large businesses and 36% of high-income charities have a formal cyber security strategy in place. Qualitative data suggests the impetus to develop strategies can come from management board pressure, audits and business acquisition. It can also coincide with cyber teams gaining operational independence, for example from IT departments.	・中堅企業の49％、大企業の68％、高所得の慈善団体の36％が、正式なサイバーセキュリティ戦略を策定している。定性的データによると、戦略策定のきっかけは、経営陣からの圧力、監査、事業買収などである。また、サイバーチームがIT部門から独立するなど、業務上の独立性を高めたことがきっかけとなる場合もある。
・In the last year, 16% of corporate annual reports across medium businesses covered cyber risks, rising to 33% of the reports published by large businesses. Across charities (of all income groups), 9% of these reports covered cyber risks.	・昨年、中堅企業の年次報告書の16%がサイバーリスクを取り上げており、大企業では33%に上った。慈善団体（すべての所得層）では、9％の報告書でサイバーリスクが取り上げられている。
・Qualitative data shows a similar set of issues to previous years that prevent boards from engaging more in cyber security, including a lack of knowledge, training and time. It also highlights the importance of people in cyber roles being able to write persuasive business cases for cyber security spending, especially when they report directly to finance leads.	・定性的データでは、取締役会がサイバーセキュリティに取り組むことを妨げる問題として、知識、トレーニング、時間の不足など、例年と同様のものがあることが示されている。また、サイバーセキュリティの担当者が、特に財務責任者に直接報告する場合、サイバーセキュリティへの支出について説得力のあるビジネスケースを作成できることが重要であることも明らかになった。
Cyber accreditations and following guidance	サイバーセキュリティ認定とガイダンス
The proportion of organisations seeking external information or guidance on cyber security remains stable, at almost half. However, this means that a sizeable proportion of organisations, including larger organisations, continue to be unaware of government guidance such as the 10 Steps to Cyber Security, and the government-endorsed Cyber Essentials standard. Linked to this, relatively few organisations at present are adhering to recognised standards or accreditations, such as Cyber Essentials or ISO 27001.	サイバーセキュリティに関する外部の情報やガイダンスを求めている組織の割合は、ほぼ半数で安定している。しかし、これは、大規模な組織を含め、かなりの割合の組織が、「サイバーセキュリティのための10ステップ」や政府が推奨する「サイバーエッセンシャル」規格などの政府指針を知らないままであることを意味します。これに関連して、Cyber EssentialsやISO 27001などの公認規格や認定を遵守している組織は、現在、比較的少ない。
・49% of businesses and 44% of charities report seeking information or guidance on cyber security from outside their organisation in the past year, most commonly from external cyber security consultants, IT consultants or IT service providers.	・企業の49％、慈善団体の44％が、過去1年間にサイバーセキュリティに関する情報やガイダンスを組織外から求めたと報告しており、最も多いのは外部のサイバーセキュリティコンサルタント、ITコンサルタント、ITサービスプロバイダーである。
・14% of businesses and 19% of charities are aware of the 10 Steps guidance – rising to 32% of medium businesses and 44% of large businesses. Nevertheless, around two-fifths of businesses (37%) and three in ten charities (30%) have taken action on 5 or more of the 10 Steps. This is much more common in medium businesses (75%) and large businesses (89%). Just 2% of businesses and charities have enacted all 10 Steps, increasing to 7% of medium businesses and 20% of large businesses.	・10ステップガイダンスを知っている企業は14％、慈善団体は19％で、中堅企業では32％、大企業では44％に上る。しかし、約5分の2の企業（37％）と10社に3社の慈善団体（30％）が、10ステップのうち5つ以上のステップに取り組んでいる。これは、中堅企業（75％）と大企業（89％）でより一般的である。10ステップのすべてを実施している企業と慈善団体はわずか2％で、中堅企業では7％、大企業では20％に増えている。
・14% of businesses and 15% of charities are aware of the Cyber Essentials scheme – rising to 50% of medium businesses and 59% of large businesses.	・Cyber Essentialsスキームを知っている企業は14%、慈善団体は15%で、中堅企業では50%、大企業では59%に上る。
・A total of 9% of businesses and 5% of charities report adhering to ISO 27001. This is again higher among large businesses (27%).	・ISO 27001を遵守していると回答した企業は9%、慈善団体は5%であった。これは、大企業（27%）でさらに高くなっている。
・Qualitative findings suggest the desire to seek external accreditation can be because clients demand it. It can also be a convenient way for organisations to generate a standardised set of documentation on their cyber security standards, or to enforce or speed up a positive change in their staff culture.	・定性的な調査結果によると、外部認定を受けようとするのは、顧客から要求されるためである可能性があります。また、組織がサイバーセキュリティ基準に関する標準的な文書を作成したり、スタッフ文化の積極的な変化を強制したり、加速したりするのに便利な方法であることも考えられる。
Incident response	インシデントレスポンス
While a large majority of organisations say that they will take several actions following a cyber incident, in reality a minority have agreed processes already in place to support this. This highlights an area for ongoing improvement for the study to continue monitoring next year.	サイバーインシデントが発生した場合、大多数の組織がいくつかの対策を講じると回答しているが、実際には、これをサポートするための合意されたプロセスを既に導入している組織は少数派である。このことは、本調査が来年も監視を続けるために、継続的な改善が必要な領域を浮き彫りにしている。
・The most common processes, mentioned by between a quarter and two-fifths of businesses and charities, are having specific roles and responsibilities assigned to individuals, having guidance on external reporting, and guidance on internal reporting.	・最も一般的なプロセスは、4分の1から5分の2の企業と慈善団体によって言及され、個人に割り当てられた特定の役割と責任、外部報告に関するガイダンス、および内部報告に関するガイダンスを持つことである。
・Formal incident response plans are not widespread (21% of businesses and 16% of charities have them). This rises to 47% of medium-sized businesses, 64% of large businesses and 38% of high-income charities.	・正式なインシデント対応計画は普及していない（企業の21％、慈善団体の16％が持っている）。これは、中堅企業の47％、大企業の64％、高所得の慈善団体の38％に上る。
・Qualitative findings suggest another area for potential improvement is the relative disconnect between IT or specialist cyber teams and wider staff (including management boards) when it comes to incident response. Bridging this gap was felt to require good, regular communication between IT teams and wider staff. Post-incident reviews were also seen as a way to engage wider staff in cyber security.	・定性的な調査結果によると、インシデントレスポンスに関して、ITやサイバー専門チームとそれ以外のスタッフ（経営陣を含む）との間に相対的な断絶があることも、改善の可能性がある領域である。このギャップを埋めるには、ITチームとその他のスタッフとの間の良好で定期的なコミュニケーションが必要であると考えられている。また、インシデント発生後のレビューは、より多くのスタッフをサイバーセキュリティに関与させるための方法であると考えられている。
Cyber crime	サイバー犯罪
Some cyber security breaches and attacks do not constitute cyber crimes under the Computer Misuse Act 1990 and the Home Office Counting Rules. New questions were added this year to establish the extent to which the breaches or attacks that organisations experience could be defined as cyber crimes committed against them, using the principles in the Home Office Counting Rules. Further new questions explored the extent of fraud that occurred as a result of cyber crime. More detail about definitions of cyber crime and the rationale for expanding the survey in this way can be found in Chapter 6.	一部のサイバーセキュリティ侵害や攻撃は、1990年コンピュータ誤用法および内務省のカウントルールに基づくサイバー犯罪に該当しない。今年、新たな質問が追加され、組織が経験する侵害や攻撃が、内務省のカウントルールの原則を使用して、組織に対して行われたサイバー犯罪と定義できる程度を確認するために行われました。さらに、サイバー犯罪の結果として発生した不正行為の程度を調査する新しい質問も追加されました。サイバー犯罪の定義と、このように調査を拡大した理由についての詳細は、第6章に記載されている。
As this is the first year these questions have been asked and there is no baseline for comparison, users should be relatively cautious when interpreting these statistics.	これらの質問は今年が初めてであり、比較のための基準値がないため、利用者はこれらの統計を解釈する際に比較的慎重であるべきである。
The findings show that cyber crime is more prevalent among larger organisations, although this may be a sign of underreporting among smaller organisations.	調査結果は、サイバー犯罪がより大規模な組織でより一般的であることを示しているが、これは小規模な組織での報告が少ないことの表れかもしれない。
・A total of 11% of businesses and 8% of charities have experienced cyber crime in the last 12 months, rising to 26% of medium businesses, 37% of large businesses and 25% of high-income charities. Looked at another way, among the 32% businesses and 24% of charities identifying any cyber security breaches or attacks, around a third (34% for businesses and 32% for charities) ended up being victims of cyber crime.	・過去12ヶ月間にサイバー犯罪を経験した企業は11％、慈善団体は8％で、中堅企業では26％、大企業では37％、高所得の慈善団体では25％に上っている。別の見方をすれば、サイバーセキュリティの侵害や攻撃が確認された32%の企業と24%の慈善団体のうち、約3分の1（企業：34%、慈善団体：32%）がサイバー犯罪の被害者となったことになる。
・Separately, a total of 3% of businesses and 1% of charities have been victims of fraud as a result of cyber crime. This accounts for 9% of the businesses and 6% of the charities that identify any cyber security breaches or attacks.	・これとは別に、サイバー犯罪の結果として詐欺の被害に遭った企業は3%、慈善団体は1%であった。これは、サイバーセキュリティの侵害や攻撃を確認した企業の9％、慈善団体の6％を占めている。
・We estimate that, across all UK businesses, there were approximately 2.39 million instances of cyber crime and approximately 49,000 instances of fraud as a result of cyber crime in the last 12 months. Across charities, there were approximately 785,000 cyber crimes over this period. The sample sizes do not allow us to estimate the scale of fraud resulting from cyber crime across charities. It should be noted that these estimates of scale will have a relatively wide margin of error.	・英国企業全体では、過去12ヶ月間に約239万件のサイバー犯罪が発生し、サイバー犯罪の結果として約49,000件の詐欺が発生したと推定している。慈善団体全体では、この期間に約78万5,000件のサイバー犯罪が発生している。サンプル数から、チャリティ団体全体のサイバー犯罪による詐欺の規模を推定することはできません。これらの規模の推定は、比較的大きな誤差を持つことに留意する必要がある。
T・he average (mean) annual cost of cyber crime for businesses is estimated at approximately £15,300 per victim. The sample sizes do not allow this cost calculation for charities.	・企業におけるサイバー犯罪の平均年間コストは、被害者一人当たり約 15,300 ポンドと推定される。慈善団体については、サンプルサイズからこのコストを算出することはできない。