« 米国 連邦金融機関審査委員会(FFIEC) 「開発、取得、保守」小冊子(検査員も使うよ)の改訂 (2024.08.29) | Main | 米国 ホワイトハウス 国家サイバー長官室 インターネットルーティング・セキュリティ強化に向けたロードマップを発表 (2024.09.03) »

2024.09.05

英国 サイバーセキュリティ侵害調査 2025 開始の案内... 2025年 (2024.09.03) +最新報告書等

こんにちは、丸山満彦です。

UKのサイバーセキュリティ侵害調査 2025が開始されるとアナウンスされていますね...

● GOV.UK

・2024.09.03 Cyber Security Breaches Survey 2025

1_20240303060201

ちょうどよいタイミングなので、このUKのサイバーセキュリティ侵害調査 (Cyber Security Breaches Surve)についてまず、簡単に説明をしておきますね...(このブログでも過去に気まぐれに紹介していますが...)。そして、2021年から始まった、大規模組織に焦点をあてたサイバーセキュリティ縦断調査 (Cyber security longitudinal survey) 」についても触れておきます。

UKでは、内務省 (Home office) [wikipedia]と、科学技術革新省 (Department for Science, Innovation and Technology) [wikipedia]が共同で毎年サイバーセキュリティ侵害調査 (Cyber Security Breaches Survey) を調査していますね...これは、公式な調査で、2017年からの調査結果はウェブで公表されています...

この調査は、英国政府が企業、慈善団体、教育機関がサイバーセキュリティにどのように取り組んでいるか、またどのような課題に直面しているかを把握することを目的したもののようです...

ただ、英国の企業規模別の企業数(2023年)でいうと、全企業数約556万社のうち、250人以上の規模の会社は約6千社 (0.1%)で中小企業のデータが中心となっています。

上記の企業数の調査では、従業員数でいうと、250 人以上の会社が占める割合は、全英従業員数 約28百万人のうち約11百万人(約40%)、売上高は全英全体約4.5兆ポンドのうち約2.1兆ポンド(50%弱)と大きい状況です...

そこで、2020年1月28日にこの調査の変更案が提案され、この結果を受け、2024.05.27に次のように決定した。この調査は従来通り調査を続けることとし、大企業については別途調査を検討することとなり、大企業中心の縦断調査をすることになった。

大企業についての調査は、科学技術革新省 (Department for Science, Innovation and Technology) とデジタル・文化・メディア・スポーツ省(Department for Digital, Culture, Media & Sport)[wikipedia] が実施している「サイバーセキュリティ縦断調査 (Cyber security longitudinal survey) 」で2021年から開始され、2024年現在Wave3として、3年間実施されています。

これらの活動は当然に英国の国家サイバー戦略2022と連携した活動となっています...

 

 


 

GOV.UK

サイバーセキュリティ侵害調査

Cyber Security Breaches Surve

2024.04.09 CSBS 2024 HTML CSBS 2024 本文
    HTML CSBS 2024: education institutions annex 附属書:教育機関
    HTML CSBS 2024: technical report 調査手法等の説明
    HTML CSBS 2024: pre-release access list 公表前閲覧者リスト
2023.04.19 CSBS 2023 HTML CSBS 2023 本文
    HTML CSBS 2023: education institutions annex 附属書:教育機関
    HTML CSBS 2023: technical report 調査手法等の説明
    HTML CSBS 2023: pre-release access list 公表前閲覧者リスト
2022.03.30 CSBS 2022 HTML CSBS 2022 本文
    HTML Educational institutions findings annex - CSBS 2022 附属書:教育機関
    PDF Infographic of key business findings - CSBS 2022 ℹ️:営利企業:発見事項
    PDF Infographic of micro & small business key findings - CSBS 2022 ℹ️:小・零細企業:発見事項
    PDF Infographic of medium & large business key findings - CSBS 2022 ℹ️:中・大企業:発見事項
    PDF Infographic of charities key findings - CSBS 2022 ℹ️:非営利団体:発見事項
    PDF Education annex - CSBS 2022 附属書:教育機関
    PDF Technical annex - CSBS 2022 附属書:調査手法等の説明
    PDF Pre-release list - CSBS 2022 公表前閲覧者リスト
2021.03.24 CSBS 2021 HTML CSBS 2021 本文
    PDF CSBS 2021 - PDF version 本文
    PDF CSBS 2021 - business infographic ℹ️:営利企業:発見事項
    PDF CSBS 2021 - micro and small business infographic ℹ️:小・零細企業:発見事項
    PDF CSBS 2021 - medium and large business infographic ℹ️:中・大企業:発見事項
    PDF CSBS 2021 - charity infographic ℹ️:非営利団体:発見事項
    HTML CSBS 2021 Education Annex 附属書:教育機関
    PDF CSBS 2021 Education Annex 附属書:教育機関
    PDF CSBS 2021 Technical Annex 附属書:調査手法等の説明
    PDF CSBS 2021 Pre-release access list 公表前閲覧者リスト
2020.03.25 CSBS 2020 HTML CSBS 2020 本文
    PDF CSBS 2020 - main report PDF 本文
    PDF Education Annex - CSBS 2020 附属書:教育機関
    PDF Technical Annex - CSBS 2020 附属書:調査手法等の説明
    PDF Business trends infographic ℹ️:営利企業:傾向
    PDF Charity trends infographic ℹ️:非営利団体:傾向
    PDF Micro & small business trends infographic ℹ️:小・零細企業:傾向
    PDF Medium & large business trends infographic ℹ️:中・大企業:傾向
    PDF CSBS 2020: Pre-release list 公表前閲覧者リスト
2019.07.02 CSBS 2019 PDF CSBS 2019: Main report 本文
    PDF CSBS 2019: General findings visualisation (Business and Charities) ℹ️:全体:発見事項
    PDF CSBS 2019: Micro/Small Business findings visualisation ℹ️:小・零細企業:発見事項
    PDF CSBS 2019: Medium/Large Business findings visualisation ℹ️:中・大企業:発見事項
    PDF CSBS 2019: Charities findings visualisation ℹ️:非営利団体:発見事項
    PDF CSBS 2019: Technical Annex 附属書:技術書
    PDF CSBS 2019: Pre-release list 公表前閲覧者リスト
・2018.04.24 CSBS 2018 PDF CSBS 2018: Main report 本文
    PDF CSBS 2018: General findings visualisation (Business and Charities) ℹ️:全体:発見事項
    PDF CSBS 2018: Micro/Small Business findings visualisation ℹ️:小・零細企業:発見事項
    PDF CSBS 2018: Medium/Large Business findings visualisation ℹ️:中・大企業:発見事項
    PDF CSBS 2018: Charities findings visualisation ℹ️:非営利団体:発見事項
    PDF CSBS 2018: Technical Annex 附属書:調査手法等の説明
    PDF CSBS 2018: Pre-release list 公表前閲覧者リスト
・2017.04.19 CSBS 2017 PDF CSBS 2017: main report 本文
    PDF General business findings visualisation ℹ️:全体:発見事項
    PDF Micro/small business findings visualisation ℹ️:営利企業:発見事項
    PDF Medium/large business findings visualisation ℹ️:発見事項:中・大企業
    PDF CSBS 2017: Technical annex 附属書:調査手法等の説明
    PDF Pre-release access list 公表前閲覧者リスト

ℹ️=インフォグラフィックス

 

年度

発表日

入り口 本文 教育機関 調査手法等 Keyfindings
General Micro-Small Medium-Large Charities
2024 2024.04.09 HTML HTML   HTML   HTML          
2023 2023.04.19 HTML HTML   HTML   HTML          
2022 2022.03.30 HTML HTML   HTML PDF   PDF PDF PDF PDF PDF
2021 2021.03.24 HTML HTML PDF HTML PDF   PDF PDF PDF PDF PDF
2020 2020.03.26 HTML HTML PDF   PDF   PDF PDF PDF PDF PDF
2019 2019.04.03 HTML   PDF       PDF PDF PDF PDF PDF
2018 2018.04.25 HTML   PDF       PDF PDF PDF PDF PDF
2017 2017.04.19 HTML   PDF       PDF PDF PDF PDF  

 

2020年改訂提案の件...

結果

・2020.05.27 Consultation outcome Cyber Security Breaches Survey - Consultation Response

変更

・2020.01.28 Proposed changes to the Cyber Security Breaches Survey

 


 

サイバーセキュリティ縦断調査

Cyber security longitudinal survey

2024.03.20 2024:Wave3 HTML CSLS - wave three 本文
    PDF Infographic summaries of key findings ℹ️:全体:発見事項
    PDF CSLS - wave three technical report 調査手法等
2022.12.29 2023:wave2 HTML Cyber security longitudinal study - wave two 本文
    PDF Cyber security longitudinal study - wave two technical report 調査手法等
    PDF Medium businesses infographic - CSLS wave two ℹ️ :中企業
    PDF Large businesses infographic - CSLS wave two ℹ️ :大企業
    PDF Charities infographic - CSLS wave two ℹ️ :非営利団体
2022.01.27 2021:wave1 HTML CSLS: wave 1 本文
    PDF CSLS: wave one 本文
    PDF Medium businesses infographic - CSLS ℹ️ :中企業
    PDF Large businesses infographic - CSLS ℹ️ :大企業
    PDF Charities infographic - CSLS ℹ️ :非営利団体
    PDF Technical annex - CSLS wave one 調査手法等

 


それぞれの最新の報告書のサマリー・・・

↓↓↓

 

サイバーセキュリティ侵害調査

・2024.04.09 Cyber security breaches survey 2024

目次...

Summary サマリー
Chapter 1: Introduction 第1章:序文
Chapter 2: Awareness and attitudes 第2章:認識と態度
Chapter 3: Approaches to cyber security 第3章:サイバーセキュリティへの取り組み
Chapter 4: Prevalence and impact of breaches or attacks 第4章:侵害または攻撃の発生率と影響
Chapter 5: Dealing with breaches or attacks 第5章:侵害または攻撃への対処
Chapter 6: Cyber crime 第6章:サイバー犯罪
Chapter 7: Conclusions 第7章:結論
Appendix A: Guide to statistical reliability 附属書A:統計の信頼性に関するガイド
Appendix B: Glossary 附属書B:用語集
Appendix C: Further information 附属書C:追加情報

 

サマリー...

Summary 要約
Identification of cyber security breaches and attacks サイバーセキュリティ侵害および攻撃の特定
Cyber security breaches and attacks remain a common threat. サイバーセキュリティ侵害および攻撃は依然として一般的な脅威である。
Half of businesses (50%) and around a third of charities (32%) report having experienced some form of cyber security breach or attack in the last 12 months. This is much higher for medium businesses (70%), large businesses (74%) and high-income charities with £500,000 or more in annual income (66%). 企業の半数(50%)および非営利団体の約3分の1(32%)が、過去12か月間に何らかのサイバーセキュリティ侵害または攻撃を経験したと報告している。これは、中企業(70%)、大企業(74%)、年間収入50万ポンド以上の高所得非営利団体(66%)ではさらに高い。
By far the most common type of breach or attack is phishing (84% of businesses and 83% of charities). This is followed, to a much lesser extent, by others impersonating organisations in emails or online (35% of businesses and 37% of charities) and then viruses or other malware (17% of businesses and 14% of charities). 侵害や攻撃の最も一般的なタイプは、フィッシング(企業では84%、非営利団体では83%)である。これに続くのは、企業や非営利団体になりすましたメールやオンライン(企業では35%、非営利団体では37%)であり、ウイルスやその他のマルウェア(企業では17%、非営利団体では14%)は、その程度ははるかに低い。
Among those identifying any breaches or attacks, we estimate the single most disruptive breach from the last 12 months cost each business, of any size, an average of approximately £1,205. For medium and large businesses, this was approximately £10,830. For charities, it was approximately £460. More information on costs can be found in chapter 4. 侵害や攻撃を識別した回答者のうち、過去12か月間に発生した最も深刻な侵害による損害額は、企業規模に関わらず、平均で約1,205ポンドと推定される。中企業および大企業では、この額は約10,830ポンドであった。非営利団体では、約460ポンドであった。費用に関する詳細は、第4章を参照のこと。
There were some changes this year to the question that seeks to capture the overall incidence of cyber attacks and breaches. Due to these changes, it is not possible to make direct comparisons between 2023 and 2024. サイバー攻撃や情報漏洩の全体的な発生率を把握するための質問に、今年いくつかの変更が加えられた。これらの変更により、2023年と2024年との直接比較はできない。
Cyber hygiene サイバー衛生
The most common cyber threats are relatively unsophisticated, so government guidance advises businesses and charities to protect themselves using a set of “cyber hygiene” measures. A majority of businesses and charities have a broad range of these measures in place. The most common are updated malware protection, password policies, cloud back-ups, restricted admin rights and network firewalls - each administered by at least seven in ten businesses and around half of charities or more. Compared to 2023, the deployment of various controls and procedures has risen slightly among businesses: 最も一般的なサイバー脅威は比較的単純なものであるため、政府のガイドラインでは、企業や非営利団体に対して「サイバー衛生」対策のセットを使用して自らを防御するよう推奨している。大半の企業や非営利団体は、こうした対策の多くを実施している。最も一般的なのは、マルウェア対策の更新、パスワードポリシー、クラウドバックアップ、管理者権限の制限、ネットワークファイアウォールであり、それぞれ少なくとも10社に7社、非営利団体の半数以上が実施している。2023年と比較すると、企業ではさまざまな管理や手順の導入が若干増加している。
・using up-to-date malware protection (up from 76% to 83%) ・最新のマルウェア対策の使用(76%から83%に増加
・restricting admin rights (up from 67% to 73%) ・管理権限の制限(67%から73%に増加
・network firewalls (up from 66% to 75%) ・ネットワークファイアウォール(66%から75%に増加
・agreed processes for phishing emails (up from 48% to 54%). ・フィッシングメールに対する合意されたプロセス(48%から54%に増加
These trends represent a partial reversal of the pattern seen in the previous three years of the survey, where some areas had seen consistent declines among businesses. The changes mainly reflect shifts in the micro business population and, to a lesser extent, small and medium businesses. これらの傾向は、この3年間の調査で確認されたパターンを部分的に覆すものであり、企業の間で一貫して減少していた分野もあった。この変化は主に零細企業の人口動態の変化を反映したものであり、中小企業にも若干の影響が見られる。
Risk management and supply chains リスクマネジメントとサプライチェーン
Businesses are more likely than charities to take actions to identify cyber risks. Larger businesses (defined as medium and large businesses as opposed to smaller business that cover micro and small business) are the most advanced in this regard. 企業は非営利団体よりもサイバーリスクの識別対策を講じている可能性が高い。この点において最も進んでいるのは大規模企業(零細企業と小企業を対象とする小規模企業とは対照的に、中企業および大企業)である。
31% of businesses and 26% of charities have undertaken cyber security risk assessments in the last year - rising to 63% of medium businesses and 72% of large businesses. 過去1年間にサイバーセキュリティリスクアセスメントを実施した企業は31%、非営利団体は26%であった。中企業では63%、大企業では72%に上昇する。
A third of businesses (33%) deployed security monitoring tools, rising to 63% of medium businesses and 71% of large businesses. The proportion was lower among charities (23%). セキュリティ監視ツールを導入した企業は3分の1(33%)であった。中企業では63%、大企業では71%に上昇する。非営利団体ではその割合は低かった(23%)。
Around four in ten businesses (43%) and a third of charities (34%) report being insured against cyber security risks rising to 62% of medium businesses and 54% of large businesses (i.e. cyber insurance is more common in medium businesses than large ones). Compared to the 2023 survey, the proportion of businesses with some form of insurance has increased from 37% to 43%, while the proportion has remained stable among charities. およそ4社に1社(43%)の企業と、3分の1(34%)の非営利団体が、サイバーセキュリティリスクに対する保険に加入していると報告している。中企業では62%、大企業では54%に上る(つまり、サイバー保険は大企業よりも中企業でより一般的である)。2023年の調査と比較すると、何らかの保険に加入している企業の割合は37%から43%に増加しているが、非営利団体では割合は安定している。
Just over one in ten businesses say they review the risks posed by their immediate suppliers (11%, vs. 9% of charities). More medium businesses (28%) and large businesses (48%) review immediate supplier risks. 自社の直接のサプライヤーがもたらすリスクを評価していると答えた企業は10社中1社強(11%、非営利団体では9%)であった。中企業(28%)および大企業(48%)では、直接のサプライヤーのリスクを評価している割合が高い。
The qualitative interviews suggest that organisations have an increasing awareness of the cyber security risks posed by supply chains. Despite this, organisations, particularly at the smaller end, tend to have limited formal procedures in place to manage cyber risks from wider supply chains. 定性的なインタビューからは、サプライチェーンがもたらすサイバーセキュリティリスクに対する組織の認識が高まっていることが示唆されている。にもかかわらず、特に小規模な組織では、広範なサプライチェーンから生じるサイバーリスクを管理するための正式な手順が限定的である傾向がある。
Board engagement and corporate governance 取締役会の関与とコーポレートガバナンス
Board engagement and corporate governance approaches towards cyber security tend to be more sophisticated in larger organisations. Levels of activity have remained stable compared with 2023. サイバーセキュリティに対する取締役会の関与とコーポレートガバナンスのアプローチは、大規模な組織ほど洗練されている傾向にある。活動レベルは2023年と比較して安定している。
Three-quarters of businesses (75%) and more than six in 10 charities (63%) report that cyber security is a high priority for their senior management. This proportion is higher among larger businesses (93% of medium businesses and 98% of large businesses, vs. 75% overall). The same is true for high-income charities (93% of those with income of £500,000 or more, vs. 63% overall). 企業の4分の3(75%)と非営利団体の6割以上(63%)が、サイバーセキュリティは経営陣にとって優先度の高い事項であると報告している。この割合は、大規模な企業ほど高くなっている(中企業では93%、大企業では98%であるのに対し、全体では75%)。高収入の非営利団体(収入が50万ポンド以上の非営利団体の93%であるのに対し、全体では63%)についても同様である。
The proportion that say cyber security is a high priority has remained stable since 2023, following an apparent decrease in prioritisation in 2023. The qualitative interviews suggest that, despite economic conditions, many organisations have continued to invest either the same amount or more in cyber security over the last 12 months. This is in part a response to the perceived increase in the number of cyber-attacks and their sophistication. サイバーセキュリティを優先事項として挙げた割合は、2023年に優先順位が下がったように見えたものの、2023年以降は安定している。定性的なインタビューからは、経済状況にもかかわらず、多くの組織が過去12か月間、サイバーセキュリティへの投資を同額または増額していることが示唆されている。これは、サイバー攻撃の件数の増加と巧妙化が認識されていることへの対応でもある。
Three in ten businesses and charities (both 30%) have board members or trustees explicitly responsible for cyber security as part of their job role - rising to 51% of medium businesses and 63% of large businesses. There has been no change in the overall figures since 2023. 10社中3社の企業および非営利団体(いずれも30%)では、役員または理事がサイバーセキュリティを職務の一環として明確に担当している。中企業では51%、大企業では63%に上る。2023年以降、全体的な数値に変化はない。
22% of medium businesses and 33% of large businesses have heard of the NCSC’s Board Toolkit rising from 11% and 22% respectively in 2020 (when it was introduced). NCSCの理事会ツールキットについて聞いたことがある中企業の割合は22%、大企業では33%であり、これは2020年(ツールキットが導入された年)の11%と22%から上昇している。
58% of medium businesses, 66% of large businesses and 47% of high-income charities have a formal cyber security strategy in place. The figures for both businesses and charities are higher than in 2023 with significant changes seen for medium businesses and charities. 中企業の58%、大企業の66%、高所得非営利団体の47%が正式なサイバーセキュリティ戦略を導入している。企業と非営利団体の両方において、2023年よりも高い数値が示されており、中企業と非営利団体では大幅な変化が見られる。
Qualitative data shows a similar set of issues to previous years that prevent boards from engaging more in cyber security, including a lack of knowledge, training and time. It also highlights a contrast between more structured board engagement in larger organisations, compared with more informal approaches in smaller organisations, where responsibility was often passed onto external contractors. 定性的なデータでは、知識やトレーニング、時間の不足など、取締役会がサイバーセキュリティにより深く関与することを妨げる問題が、前年度と同様のセットで示されている。また、大規模な組織では取締役会がより体系的に関与しているのに対し、小規模な組織ではより非公式なアプローチが取られており、責任が外部の請負業者に委ねられることが多いという対照的な状況も浮き彫りになっている。
Cyber accreditations and following guidance サイバーセキュリティの認定とガイダンスの順守
The proportion of businesses seeking external information or guidance on cyber security has fallen since 2023. In addition, a sizeable proportion of organisations, including larger organisations, continue to be unaware of government guidance such as the 10 Steps to Cyber Security, and the government-endorsed Cyber Essentials standard. Linked to this, relatively few organisations at present are adhering to recognised standards or accreditations. サイバーセキュリティに関する外部の情報やガイダンスを求めている企業の割合は、2023年以降減少している。さらに、大規模な組織を含む相当数の組織が、政府によるガイダンス(「サイバーセキュリティへの10のステップ」や政府が推奨する「サイバーエッセンシャルズ標準」など)について依然として認識していない。これに関連して、現在、認定された標準や認定を順守している組織は比較的少ない。
Four in ten businesses (41%) and charities (39%) report seeking information or guidance on cyber security from outside their organisation in the past year, most commonly from external cyber security consultants, IT consultants or IT service providers. The figure for businesses is lower than in 2023 (49%), while there has been no change among charities. 10社中4社(41%)の企業と非営利団体(39%)が、過去1年間に自社外からサイバーセキュリティに関する情報やガイダンスを求めたと報告しており、最も一般的なのは外部のサイバーセキュリティコンサルタント、ITコンサルタント、ITサービスプロバイダからの情報やガイダンスである。企業におけるこの割合は2023年の49%よりも低いが、非営利団体では変化は見られない。
13% of businesses and 18% of charities are aware of the 10 Steps guidance - rising to 37% of medium businesses and 44% of large businesses. Nevertheless, 39% of businesses and 32% of charities have taken action on 5 or more of the 10 Steps. This is much more common in medium businesses (80%) and large businesses (91%). Just 3% of businesses and charities have enacted all 10 Steps, increasing to 14% of medium businesses and 27% of large businesses. 「10のステップ」のガイダンスを認識している企業は13%、非営利団体は18%である。中企業では37%、大企業では44%に上昇する。しかし、企業では39%、非営利団体では32%が10のステップのうち5つ以上を実施している。これは中企業(80%)や大企業(91%)ではより一般的である。10のステップすべてを実施している企業および非営利団体はわずか3%であるが、中企業では14%、大企業では27%に増加する。
12% of businesses and 11% of charities are aware of the Cyber Essentials scheme, consistent with 2023 but representing a decline over last 2-3 years. Awareness is higher among medium businesses (43%) and large businesses (59%). Although only 3% of businesses and charities report adhering to Cyber Essentials, a higher proportion (22% of businesses and 14% of charities) report having technical controls in all five of the areas covered by Cyber Essentials. 企業および非営利団体の12%がサイバーエッセンシャルスキームを認識しており、2023年と一致しているが、過去2~3年間の減少を代表するものである。認識度は中企業(43%)および大企業(59%)でより高い。サイバーエッセンシャルズに準拠していると報告している企業および非営利団体はわずか3%であるが、サイバーエッセンシャルズでカバーされている5つの領域すべてにおいて技術的対策を講じていると報告している割合は、企業で22%、非営利団体で14%と、より高い。
Qualitative findings suggest the desire to seek external accreditation can be due to client demand, pressure from board members, a motivation to enforce a positive change in staff culture, and peace of mind for stakeholders. 定性的な調査結果によると、外部認定を求める理由は、顧客からの要求、役員からの圧力、スタッフの文化に前向きな変化をもたらす動機付け、利害関係者の安心感などである可能性がある。
Incident response インシデント対応
While a large majority of organisations say that they will take several actions following a cyber incident, in reality a minority have agreed processes already in place to support this. These findings are consistent with previous years. 大半の組織がサイバーインシデント発生後にいくつかの対応策を講じると回答しているが、実際には、この対応をサポートするプロセスがすでに確立されている組織は少数派である。この調査結果は、前年と一致している。
The most common processes, mentioned by around a third of businesses and charities, are having specific roles and responsibilities assigned to individuals, having guidance on external reporting, and guidance on internal reporting. 企業および非営利団体の約3分の1が挙げた最も一般的なプロセスは、個人に特定の役割と責任を割り当てること、外部への報告に関する指針、内部報告に関する指針である。
Formal incident response plans are not widespread (22% of businesses and 19% of charities have them). This rises to 55% of medium-sized businesses, 73% of large businesses and 50% of high-income charities. 正式なインシデント対応計画はあまり普及していない(企業では22%、非営利団体では19%が導入している)。これは中企業では55%、大企業では73%、高収入の非営利団体では50%にまで上昇する。
External reporting of breaches remains uncommon. Among those identifying breaches or attacks, 34% of businesses and 37% of charities reported their most disruptive breach outside their organisation. Many of these cases simply involve organisations reporting breaches to their external cyber security or IT providers and no one else. 違反に関する外部への報告は依然として一般的ではない。違反または攻撃を識別した回答者のうち、企業では34%、非営利団体では37%が、最も深刻な違反を自社外で報告したと回答した。これらのケースの多くは、単に組織が外部のサイバーセキュリティまたはITプロバイダに違反を報告し、他の誰にも報告していないだけである。
The qualitative interviews highlighted several challenges organisations might face when dealing with cyber incidents. In smaller organisations, there was a strong reliance on DSPs for incident response, such as IT providers and cloud storage providers. This was linked with a lack of in-house expertise or capacity. In larger organisations, the challenges were often more related to a disconnect between IT or cyber teams and wider staff, including senior managers. 定性的なインタビューでは、サイバーインシデントに対処する際に組織が直面する可能性のあるいくつかの課題が浮き彫りになった。小規模な組織では、インシデント対応においてITプロバイダやクラウドストレージプロバイダなどのDSPへの依存度が高い。これは、社内の専門知識や能力の不足と関連している。大規模な組織では、ITチームやサイバーチームと上級管理職を含むより幅広いスタッフとの間の連携不足に関連する課題がより多く見られる。
Cyber crime サイバー犯罪
Some cyber security breaches and attacks do not constitute cyber crimes under the Computer Misuse Act 1990 and the Home Office Counting Rules. Therefore, the statistics on prevalence and financial cost of cyber crime differ from the equivalent estimates for all cyber security breaches or attacks (as described above). They should be considered as a distinct set of figures, specifically for crimes committed against organisations, so are a subset of all breaches and attacks. 一部のサイバーセキュリティ侵害や攻撃は、1990年コンピュータ不正利用法(Computer Misuse Act 1990)や内務省カウント規則(Home Office Counting Rules)ではサイバー犯罪とは見なされない。そのため、サイバー犯罪の発生率や経済的損失に関する統計は、サイバーセキュリティ侵害や攻撃のすべてを対象とした同等の推定値とは異なる(前述の通り)。これらは、特に組織に対する犯罪を対象とした別個の数値セットとして考えるべきであり、すべての侵害や攻撃のサブセットである。
This survey includes questions on cyber crime and cyber-facilitated fraud. Changes to the questions were made in order to strengthen the reliability of the more experimental data from the 2023 survey. Due to these changes, it is not possible to make direct comparisons between 2023 and 2024. The new 2024 data should also still be considered experimental. 本調査では、サイバー犯罪とサイバーを媒介とした詐欺に関する質問も含まれている。2023年の調査で得られたより実験的なデータの信頼性を強化するために、質問内容に変更が加えられた。この変更により、2023年と2024年のデータを直接比較することはできない。2024年の新しいデータも、依然として実験的なものと考えるべきである。
An estimated 22% of businesses and 14% of charities have experienced cyber crime in the last 12 months, rising to 45% of medium businesses, 58% of large businesses and 37% of high-income charities. Looked at another way, among the 50% businesses and 32% of charities identifying any cyber security breaches or attacks, just over two-fifths (44% for businesses and 42% for charities) ended up being victims of cyber crime. 過去12か月間にサイバー犯罪を経験した企業は推定22%、非営利団体は14%で、中企業では45%、大企業では58%、高所得の非営利団体では37%に上る。別の見方をすると、サイバーセキュリティ侵害や攻撃を識別した企業50%および非営利団体32%のうち、4分の3強(企業では44%、非営利団体では42%)がサイバー犯罪の被害者となった。
Phishing is by far the most common type of cyber crime in terms of prevalence (90% of businesses and 94% of charities who experienced at least one type of cyber crime). The least commonly identified types of cyber crime are ransomware and denial of service attacks (2% or less of businesses and charities who experienced cyber crime in each case). When removing phishing-related cyber crimes, we estimate that 3% of businesses and 2% of charities have experienced at least one non-phishing cyber crime in the last 12 months. フィッシングは、サイバー犯罪の中でも最も一般的なタイプであり(少なくとも1つのサイバー犯罪を経験した企業では90%、非営利団体では94%)、 最も識別されにくいサイバー犯罪はランサムウェアとサービス拒否攻撃(それぞれサイバー犯罪を経験した企業の2%以下、非営利団体の2%以下)である。フィッシング関連のサイバー犯罪を除外すると、過去12か月間に少なくとも1つのフィッシング以外のサイバー犯罪を経験した企業は3%、非営利団体は2%と推定される。
A total of 3% of businesses and 1% of charities have been victims of fraud as a result of cyber crime. The proportion is higher among large businesses (7%). サイバー犯罪の結果、詐欺の被害に遭った企業は全体の3%、非営利団体は1%であった。この割合は大企業ではさらに高く、7%であった。
We estimate that UK businesses have experienced approximately 7.78 million cyber crimes of all types and approximately 116,000 non-phishing cyber crimes in the last 12 months. For UK charities, the estimate is approximately 924,000 cyber crimes of all types in the last 12 months. It should be noted that these estimates of scale will have a relatively wide margin of error. 英国の企業は、過去12か月間にあらゆる種類のサイバー犯罪を約778万件、フィッシング詐欺以外のサイバー犯罪を約11万6000件経験したと推定される。英国の非営利団体については、過去12か月間に約924,000件のあらゆる種類のサイバー犯罪が発生したと推定される。これらの規模の推定値には、比較的大きな誤差があることに留意すべきである。
The average (mean) annual cost of cyber crime for businesses is estimated at approximately £1,120 per victim (this excludes crimes where the only activity was phishing). 企業が被るサイバー犯罪の年間平均コストは、被害者1人あたり約1,120ポンドと推定される(フィッシングのみの犯罪は除く)。

 

 


 

次は、

サイバーセキュリティ縦断調査

Executive summary エグゼクティブサマリー
Glossary 用語集
Chapter 1 – Introduction 第1章 - 序文
Chapter 2 – Cyber profile of organisations 第2章 - 組織のサイバープロファイル
Chapter 3 – Cyber security policies 第3章 - サイバーセキュリティポリシー
Chapter 4 – Cyber security processes 第4章 - サイバーセキュリティプロセス
Chapter 5 – Board involvement 第5章 - 取締役会の関与
Chapter 6 – Sources of Information 第6章 - 情報源
Chapter 7 – Cyber incident management 第7章 - サイバーインシデント管理
Chapter 8 – Prevalence and impact of cyber incidents 第8章 - サイバーインシデントの発生率と影響
Chapter 9 – Longitudinal analysis 第9章 - 経年分析
Conclusions 結論
Annex A: Further information 附属書A:追加情報
Annex B: Guide to statistical reliability 附属書B:統計的信頼性のガイド

 

エグゼクティブサマリー...

Executive summary エグゼクティブサマリー
Key findings 主な調査結果
The purpose of the Cyber Security Longitudinal Survey (CSLS) is to investigate the change over time in organisations’ cyber security policies and processes, as well as looking at the relationship between these changes and the impact of cyber security incidents. This report covers the findings from the third wave of a multi-year survey, including comparisons to previous waves of the research (Wave One from 2021, Wave Two from 2022). It also summarises the differences between businesses and charities within Wave Three of the study, along with descriptive summaries of different sub-groups. The main stage survey for Wave Three took place between March and June 2023. Qualitative interviews took place between June and July 2023. サイバーセキュリティ縦断調査(CSLS)の目的は、組織のサイバーセキュリティポリシーとプロセスの経年変化を調査すること、およびこれらの変化とサイバーセキュリティインシデントの影響の関係を調査することである。本報告書では、複数年にわたる調査の第3波の調査結果を報告し、過去の調査(2021年の第1波、2022年の第2波)との比較も行っている。また、本調査の第3波における企業と非営利団体の相違点、およびさまざまなサブグループの記述的な概要もまとめている。第3波の本調査は2023年3月から6月にかけて実施された。定性調査は2023年6月から7月にかけて実施された。
This report presents two types of analysis: cross-sectional and longitudinal. The cross-sectional analysis focuses on the differences between all responding organisations from each wave and therefore acts as a snapshot of organisations’ status at a given time. The longitudinal analysis, in contrast, analyses the organisations that have completed multiple waves of the survey and enables greater understanding of the changes these organisations experience over time. The longitudinal analysis is covered at the end of this chapter and in detail in Chapter 9. 本報告書では、横断的分析と縦断的分析の2種類の分析結果を提示する。横断的分析は、各調査の全回答組織間の相違に焦点を当てているため、特定時点における組織の状況を捉えたスナップショットとして機能する。一方、縦断的分析は、複数の調査を完了した組織を分析し、これらの組織が経時的に経験する変化についてより深い理解を可能にする。縦断的分析については、本章の最後に、また第9章で詳細に説明する。
This report also provides additional insight from 30 follow-up qualitative interviews with survey respondents that covered topics such as cyber security resilience, awareness and usage of the Cyber Essentials standard, record keeping, internal and external reporting, responsibility for cyber security, and monitoring of supply chains. These are presented alongside reporting on quantitative findings. また、この報告書では、サイバーセキュリティのレジリエンス、サイバー・エッセンシャルズ標準の認知度と利用状況、記録の保存、社内外への報告、サイバーセキュリティの責任、サプライチェーンの監視などのトピックについて、調査回答者30名を対象に実施した追加の定性調査の結果も報告している。これらは定量的な調査結果の報告と併せて提示されている。
Broadly, businesses have a more formalised set of processes and policies in place than charities. This is particularly true among large (250 – 499 employees) and especially very large firms (500 or more employees), who are much more likely to have sophisticated approaches to cyber security. This is likely to reflect their higher budgets and ability to maintain specific cyber security staff. However, it is important to note that, for many organisations, the board is under-engaged and many of the processes that are in place are less proactive. 概して、企業は非営利団体よりも、より正式なプロセスとポリシーを導入している。これは特に、従業員数250人から499人の大企業、および500人以上の超大企業において顕著であり、これらの企業はサイバーセキュリティ対策に高度なアプローチを採用している可能性が高い。これは、これらの企業がより高い予算を確保し、サイバーセキュリティ専門スタッフを維持する能力があることを反映していると考えられる。しかし、多くの組織では取締役会の関与が不十分であり、導入されているプロセスの多くは積極性に欠けるという点に留意する必要がある。
Overall, organisations have shown improvements in their cyber resilience since the first wave of the study. However, between Waves Two and Three, their resilience profile has largely remained stable. As budgets are often stretched and priorities are shifted, organisations may be less likely to invest heavily in cyber security and this may help to explain the broadly stagnant position between Waves Two and Three. 全体として、調査の第1波以降、組織はサイバーレジリエンスの改善を示している。しかし、第2波と第3波の間では、レジリエンスのプロフィールはほぼ安定している。予算が逼迫し、優先事項が変更されることが多いため、組織はサイバーセキュリティに多額の投資を行う可能性が低く、これが第2波と第3波の間で概ね停滞している状況を説明している可能性がある。
Below is a more detailed summary of key findings from each chapter of this report. The survey results are subject to margins of error, which vary with the size of the sample and the percentage figure concerned. For all percentage results, subgroup differences by size, sector and survey answers have been highlighted only where statistically significant[footnote 1][footnote 2](at the 95% level of confidence). 以下に、本報告書の各章における主な調査結果の詳細な要約を示す。 調査結果には誤差が生じる可能性があり、その誤差はサンプルの規模や該当するパーセンテージの数値によって異なる。 パーセンテージの結果については、規模、セクター、調査回答によるサブグループ間の差異が統計的に有意な場合のみ(脚注1)(信頼水準95%の場合)にハイライト表示されている。
Cyber profile of organisations 企業のサイバープロファイル
As technology continues to develop, it has changed the way that people work. Changes range from remote working and cloud computing through to the growing importance of Artificial Intelligence (AI). These new challenges have necessitated shifts in the way that organisations respond to cyber security. テクノロジーの進化に伴い、人々の働き方も変化している。リモートワークやクラウドコンピューティングから、人工知能(AI)の重要性が高まっていることまで、その変化は多岐にわたる。こうした新たな課題により、組織がサイバーセキュリティに対応する方法も変化を余儀なくされている。
Almost all businesses (96%) and charities (98%) have a cloud or physical server to store data. Although, compared to previous waves of this study, this proportion has remained stable, the underlying trends have shifted. Increasingly, physical servers are less likely to be used by businesses (76% in Wave Three compared to 81% in Wave Two and 82% in Wave One) and charities (60% in Wave Three compared to 72% in Wave One). ほぼすべての企業(96%)および非営利団体(98%)が、データを保存するためのクラウドまたは物理サーバーを保有している。この割合は、本調査の前回までの調査と比較すると安定しているものの、その傾向は変化している。物理サーバーは企業(第3波では76%、第2波では81%、第1波では82%)および非営利団体(第3波では60%、第1波では72%)で使用される可能性がますます低くなっている。
Charities are more likely than businesses (56% vs. 35%) to allow their staff to access their systems using a personal device. This has remained stable between the different waves of the survey. This is a good example of how charities tend to take a less formalised approach to cyber security than businesses. Further to this, given the lack of change between waves, it suggests that cyber security is not always a high priority for charities. In the qualitative phase, many respondents across businesses and charities noted that personal errors were likely to be the most common source of cyber breaches, suggesting that this topic is a vital area of improvement for organisations. 非営利団体では、企業(56% 対 35%)よりもスタッフが個人所有のデバイスを使用してシステムにアクセスすることが多い。これは、調査の異なる波の間で安定している。これは、非営利団体がサイバーセキュリティに対して企業よりも形式ばらないアプローチを取る傾向があることを示す好例である。さらに、各調査の間で変化が見られないことから、非営利団体にとってサイバーセキュリティは常に優先度の高い課題ではないことが示唆される。定性的な調査段階では、企業と非営利団体の多くの回答者が、サイバー侵害の最も一般的な原因は個人のミスである可能性が高いと指摘しており、この問題は組織にとって改善が不可欠な分野であることを示唆している。
Mirroring the proportion of organisations that allow for access to systems with personal devices, businesses are also more likely than charities (81% vs. 69%) to require staff to use VPN for remote access, which has not dramatically changed compared to previous waves of the survey. Again, this suggests that businesses take a more formalised approach to cyber security. 個人所有のデバイスによるシステムへのアクセスを許可している組織の割合を反映して、企業では非営利団体よりもリモートアクセスに VPN を使用するようスタッフに義務付けている割合が高い(81% 対 69%)。この割合は、以前の調査と比較しても劇的な変化はない。この点からも、企業ではサイバーセキュリティに対してより形式的なアプローチを取っていることが示唆される。
However, it is also important to note that both businesses (23%) and charities (16%) are currently not likely to use AI or machine learning as a means to improve their cyber resilience, which has not changed between Wave One and Wave Three. This suggests that organisations have not moved towards taking on cutting-edge technology to help improve their cyber resilience. Further, given the potential for these technologies to help organisations to act proactively, it is indicative of organisations’ reactive mindset. しかし、企業(23%)および非営利団体(16%)のいずれも、サイバーレジリエンスの改善手段としてAIや機械学習を利用する可能性は低いという点にも注目すべきである。これは第1波と第3波の間で変化していない。このことは、組織がサイバーレジリエンスの改善に役立つ最先端技術の導入に踏み切っていないことを示唆している。さらに、これらの技術が組織の積極的な行動を促す可能性があることを考えると、組織が受動的な考え方をしていることを示している。
Cyber security policies サイバーセキュリティ政策
Given the speed of developments in the cyber security area, it is vital that organisations keep their policies and governance up to date to ensure they remain secure and build their resilience. サイバーセキュリティ分野における進展の速さを考えると、企業がセキュリティを確保し、レジリエンシーを構築するためには、政策とガバナンスを最新の状態に保つことが不可欠である。
Respondents were asked about whether they have any of five best practice documents for cyber security governance: a cyber security business continuity plan, documentation to identify critical assets, a written list of IT vulnerabilities, a risk register, and a document outlining how much cyber risk they are willing to accept. Around nine in ten organisations have at least one of these five documents in place (89% of businesses and 92% of charities) This represents an improvement among businesses since Wave One. However, businesses are more likely than charities to have all five documents in place (22% vs. 16%). Although this is again indicative of businesses’ more holistic approach to cyber security, it also suggests most organisations still have room for improvement. 回答者は、サイバーセキュリティガバナンスに関するベストプラクティス文書(サイバーセキュリティ事業継続計画、重要な資産の識別文書、IT脆弱性のリスト、リスクレジスター、許容可能なサイバーリスクの程度を概説した文書)のいずれかを持っているかどうかについて尋ねられた。10社中9社近くが、少なくともこの5つの文書のいずれかを導入している(企業では89%、非営利団体では92%)。これは、第1波調査以降の企業における改善を示している。しかし、5つの文書をすべて整備している割合は、企業の方が非営利団体よりも高い(22%対16%)。これは、企業の方がサイバーセキュリティに対してより包括的なアプローチを取っていることを示すものであるが、ほとんどの組織にはまだ改善の余地があることも示唆している。
Since the first wave of the survey, an increased proportion of businesses have a business continuity plan that covers cyber security (76% in Wave Three vs. 69% in Wave One), a written list of their company’s vulnerabilities (61% in Wave Three vs. 54% in Wave One), and a risk register (55% in Wave Three vs. 48% in Wave One). However, there is little movement between Waves Two and Three. Charities by comparison are most likely to have a business continuity plan and risk register in place, which is consistent across waves. 調査の第1波以降、サイバーセキュリティをカバーする事業継続計画(第3波では76%、第1波では69%)、自社の脆弱性に関する文書化されたリスト(第3波では61%、第1波では54%)、リスクレジスター(第3波では55%、第1波では48%)を整備する企業の割合が増加している。しかし、第2波と第3波の間ではほとんど変化が見られない。一方、非営利団体は、事業継続計画とリスクレジストリを導入している可能性が最も高く、これは全調査を通じて一貫している。
The document that is least prevalent among organisations is a document outlining how much cyber risk organisations are willing to accept (33% among businesses, an increase compared to 26% at Wave One, and 29% among charities which is comparable to previous waves). Again, this indicates that organisations are not necessarily forward thinking in their planning for cyber security. 企業の間で最も普及していない文書は、企業がどの程度のサイバーリスクを受け入れる意思があるかを概説した文書である(企業では33%で、第1回調査の26%から増加しており、非営利団体では29%で、過去の調査と同水準である)。この点からも、企業はサイバーセキュリティ対策の計画において必ずしも先見性があるわけではないことが示されている。
Businesses (69% in Wave Three vs. 61% in Wave Two and 53% in Wave One) and charities (79% in Wave Three vs. 66% in Wave One) are increasingly likely to have a cyber insurance policy. For businesses, this is most likely to be part of a broader insurance policy (43%), an increase on Wave Two (36%). Charities are also most likely to have a broad cyber insurance policy (46%), in line with previous waves (42% at both Wave One and Wave Two). 企業(第3波では69%、第2波では61%、第1波では53%)および非営利団体(第3波では79%、第1波では66%)は、サイバー保険に加入する傾向がますます高まっている。企業の場合、これはより広範な保険契約の一部である可能性が最も高く(43%)、第2波(36%)よりも増加している。非営利団体も幅広いサイバー保険に加入している可能性が最も高く(46%)、これは過去の調査結果(第1波および第2波ではいずれも42%)と一致している。
A majority of organisations have undertaken cyber security training or an awareness raising session, an increase on Wave One (59% of businesses in Wave Three vs. 48% in Wave One, and 62% of charities vs. 55% in Wave One). However, this has not changed substantively between Wave Two and Wave Three. This may indicate attempts among some organisations which have not put procedures in place to prevent their staff from accessing systems with their personal device, and to instead promote cyber security training and reduce human error. 大半の組織がサイバーセキュリティのトレーニングまたは意識向上セッションを実施しており、第1波(第3波では企業の59%が実施、第1波では48%)および第2波(第3波では非営利団体の62%が実施、第1波では55%)よりも増加している。しかし、第2波と第3波の間では、この点に実質的な変化は見られない。これは、一部の組織が、スタッフが個人所有のデバイスでシステムにアクセスできないようにする手順を導入していないことを示している可能性があり、代わりにサイバーセキュリティのトレーニングを推進し、人的ミスを減らすことを試みていることを示しているのかもしれない。
Cyber security processes サイバーセキュリティプロセス
In addition to updating their written policies and governance, organisations must also adapt their processes to ensure that they keep up with the changing cyber security environment. Respondents were asked about their adherence to three of the key cyber security certifications: Cyber Essentials Standard, Cyber Essentials Plus and ISO 27001. 文書化されたポリシーとガバナンスを更新するだけでなく、組織は、変化するサイバーセキュリティ環境に対応できるよう、プロセスを適応させる必要がある。回答者には、サイバーセキュリティの主要な認証である「サイバー・エッセンシャルズ Standard」、「サイバー・エッセンシャルズ Plus」、および「ISO 27001」の3つへの準拠状況について尋ねた。
For both businesses and charities, more than one-third of organisations (38% of businesses and 36% of charities) adhere to at least one of these certifications. This represents a consolidation of the increases observed since Wave One but is comparable to the results from Wave Two. 企業および非営利団体のいずれにおいても、3分の1以上の組織(企業では38%、非営利団体では36%)がこれらの認証の少なくとも1つに準拠している。これは、第1波以降に観察された増加傾向の集約を表しているが、第2波の結果と比較しても遜色ない。
Compared to Wave One, adherence to Cyber Essentials has increased among charities (23% in Wave Three vs. 19% in Wave One) but remains consistent for businesses across all three waves. Whilst it has not shown a significant improvement between Wave One (15%) and Wave Three (19%), findings from the qualitative interviews suggest the ISO 27001 certification is considered by businesses to be the most robust and substantive accreditation available. 第1波と比較すると、サイバー・エッセンシャルズへの準拠は非営利団体で増加している(第3波では23%、第1波では19%)が、企業では3つの調査すべてにおいて一貫している。第1波(15%)と第3波(19%)の間で大幅な改善は見られないが、定性的なインタビューの結果から、企業ではISO 27001認証が最も堅牢で実質的な認定であると考えられていることが示唆されている。
Consistent with previous waves of this survey, most organisations have put in place at least four of the five technical controls required to attain Cyber Essentials and around six in ten organisations (62% of businesses, 59% of charities) have all five. However, patch management (67% among businesses, 66% among charities) and user monitoring (58% of businesses, 55% of charities) remain the technical controls that organisations are least likely to have in place. There are two key implications of this: firstly, that organisations often do not invest in proactive measures and, secondly, that many organisations have put in place the controls required to attain Cyber Essentials but have not gained a full accreditation. この調査の過去の波と一致して、ほとんどの組織はサイバーエッセンシャルズの取得に必要な5つの技術的対策のうち少なくとも4つを実施しており、およそ6割の組織(企業の62%、非営利団体の59%)が5つすべてを実施している。しかし、パッチ管理(企業では67%、非営利団体では66%)とユーザー監視(企業では58%、非営利団体では55%)は、依然として組織が最も導入できていない技術的対策である。この結果から、2つの重要な示唆が得られる。まず、組織は積極的な対策に投資していないことが多いということ、そして、多くの組織はサイバーエッセンシャルズの取得に必要な対策を導入しているが、完全な認定を受けていないということである。
The proportion of businesses that have taken steps in the last twelve months to help identify risks to their cyber resilience has increased (90% in Wave Three, compared to 86% in Wave Two and 82% in Wave One). The proportion of businesses making changes in the last year to improve their cyber security has also increased since Wave One (85% vs. 79%), although it has remained consistent between Waves Two and Three (both 85%). This includes moves to integrate more proactive measures (for example, 54% of businesses have improved their patching systems), which suggests over time businesses are becoming more active in cyber security. This finding could potentially be worth further exploration in additional research. 過去12か月間にサイバーレジリエンシーに対するリスクの識別を支援する措置を講じた企業の割合は増加している(第3波では90%、第2波では86%、第1波では82%)。 また、過去1年間にサイバーセキュリティの改善を目的とした変更を行った企業の割合も、第1波(85%)と比較して増加しているが、第2波と第3波の間では(いずれも85%)一定している。これには、より積極的な対策を統合する動き(例えば、54%の企業がパッチ適用システムを改善している)も含まれており、企業がサイバーセキュリティに対して徐々に積極的になっていることを示唆している。この調査結果は、追加調査でさらに掘り下げる価値がある可能性がある。
Broadly speaking, approximately one-quarter of organisations (28% of businesses and 26% of charities, comparable to previous waves of the survey) have measures in place to evaluate the quality of their suppliers’ cyber security measures. This is a clear area for organisations to improve as it poses a significant gap in organisations’ cyber resilience profile. 大まかに言えば、回答企業の約4分の1(企業では28%、非営利団体では26%)が、サプライヤーのサイバーセキュリティ対策の質を評価する手段を導入している。これは、組織のサイバーレジリエンスのプロフィールに大きなギャップがあることを示しており、組織が改善すべき明確な領域である。
Overall, of these measures, there is a clear trend between business size and the sophistication of their approach to cyber security. For example, very large businesses (500+ employees) are nearly twice as likely as businesses overall to adhere to the Cyber Essentials Plus standard (16% vs. 9%) and are much more likely to have put in place all five technical controls required to attain Cyber Essentials (79%, compared to 62%). This is likely a reflection of the greater resources that these businesses are able to dedicate to managing their cyber resilience. 全体として、これらの対策には、企業の規模とサイバーセキュリティへのアプローチの洗練度との間に明確な傾向がある。例えば、従業員500人以上の大企業は、サイバー・エッセンシャルズ Plus標準を順守している可能性が企業全体平均のほぼ2倍(16%対9%)であり、サイバー・エッセンシャルズの達成に必要な5つの技術的制御をすべて実施している可能性がはるかに高い(79%対62%)。これは、これらの企業がサイバーレジリエンスの管理に多くのリソースを割くことができることを反映している可能性が高い。
Organisations that have a cyber security certification often have further checks in place on cyber security. For example, organisations that adhere to a cyber security certification are more likely to report having completed a supplier cyber security risk assessment in the last twelve months. This suggests that firms that seek a cyber security accreditation also take a wider more holistic approach to their security either through necessity or choice. サイバーセキュリティ認証を取得している組織は、サイバーセキュリティに関してさらに詳細なチェックを行っていることが多い。例えば、サイバーセキュリティ認証を取得している組織は、過去12か月間にサプライヤーのサイバーセキュリティリスクアセスメントを完了したと報告する可能性が高い。これは、サイバーセキュリティ認証を取得している企業は、必要に迫られてか、あるいは選択の結果としてか、より広範で包括的なアプローチでセキュリティに取り組んでいることを示唆している。
Board involvement 取締役会の関与
To ensure that organisations can maintain high levels of cyber resilience, it is vital that senior staff buy into the importance of cyber security. Indeed, there is some evidence that the presence of designated cyber responsibilities among senior staff is related to more robust cyber security processes. For example, around three-quarters (73%) of businesses and two-thirds (67%) of charities with one or more board members with oversight of cyber security have all five technical controls required to attain Cyber Essentials in place. 組織が高度なサイバーレジリエンシーを維持するためには、上級スタッフがサイバーセキュリティの重要性を理解することが不可欠である。実際、上級スタッフにサイバーセキュリティの責任者がいることは、より強固なサイバーセキュリティプロセスと関連しているという証拠がある。例えば、サイバーセキュリティを監督する1人以上の役員がいる企業の約4分の3(73%)と非営利団体の約3分の2(67%)は、サイバー・エッセンシャルズの達成に必要な5つの技術的対策をすべて実施している。
In Wave Three, approximately half of organisations (55% of businesses, 45% of charities) have a member on their board responsible for oversight of cyber security. More organisations (66% of businesses, 61% of charities) have a staff member that is responsible for cyber security that reports to the board. Among businesses this is an increase on Wave One (55%) but is comparable to Wave Two (61%). 第3波では、約半数の組織(企業の55%、非営利団体の45%)が、サイバーセキュリティの監督を担当する役員を置いている。さらに多くの組織(企業の66%、非営利団体の61%)が、サイバーセキュリティを担当するスタッフを置き、そのスタッフは役員に報告している。企業では、第1波(55%)から増加しているが、第2波(61%)とほぼ同水準である。
Further to this, board-level cyber security training has increased for both businesses (50% in Wave Three compared to 35% in Wave One) and charities (38% in Wave Three compared to 28% in Wave One) but has remained consistent between Wave Two and Three. This training is most likely to be completed once a year, although for around one-third (31%) of businesses this board-level training happens several times a year. さらに、取締役レベルのサイバーセキュリティ研修は、企業(第3波では50%、第1波では35%)および非営利団体(第3波では38%、第1波では28%)の両方で増加しているが、第2波と第3波の間では変化がない。この研修は、1年に1回実施されることが最も多いが、企業の約3分の1(31%)では、取締役レベルの研修が年に数回実施されている。
While this suggests that the majority of organisations understand the value of cyber security, it is important to note that the proportion of organisations reporting regular board-level cyber security discussions is quite low. Only 43% of businesses and 37% of charities’ boards discuss cyber security at least quarterly. Among businesses this has decreased in Wave Three (from 37% in Wave One) but has remained quite stable for charities. This suggests that improving regular board engagement remains a key area of focus to help improve cyber resilience. この結果は、大半の組織がサイバーセキュリティの価値を理解していることを示唆しているが、取締役レベルで定期的にサイバーセキュリティに関する議論を行っていると報告している組織の割合がかなり低いことは注目に値する。少なくとも四半期に一度はサイバーセキュリティについて議論している企業は43%、非営利団体の理事会では37%にとどまっている。企業では第3回調査で減少しているが(第1回調査では37%)、非営利団体ではほぼ安定している。このことは、サイバーレジリエンシーの改善を支援する上で、定期的な理事会の関与の改善が引き続き重要な領域であることを示唆している。
Again, large businesses are more likely to have greater levels of board engagement. For example, 66% of very large businesses with 500+ employees report that their board has received cyber security training. This continues to suggest that larger businesses are able to take a more sophisticated approach to cyber security. 繰り返しになるが、大企業の方が理事会の関与の度合いが高い傾向にある。例えば、従業員500人以上の超大手企業の66%が、自社の理事会がサイバーセキュリティのトレーニングを受けていると報告している。これは引き続き、大企業の方がサイバーセキュリティに対してより洗練されたアプローチを取ることができることを示唆している。
Sources of information 情報源
To ensure that organisations can remain informed of security best practice, it is important that they are able to access up to date and relevant information. 組織がセキュリティのベストプラクティスに関する情報を常に把握できるようにするためには、最新かつ関連性の高い情報にアクセスできることが重要である。
The National Cyber Security Centre (NCSC) provides a range of information resources for both businesses and charities[footnote 3]. Use of NCSC resources is more common among charities (43%) than businesses (29%). This represents an increase between Wave One and Wave Three for both businesses (29% in Wave Three vs. 23% in Wave One) and charities (43% in Wave Three vs. 32% in Wave One) but is comparable to Wave Two. The lower usage among businesses potentially reflects their greater resources and access to external consultants. 英国サイバーセキュリティセンター(NCSC)は、企業および非営利団体向けにさまざまな情報リソースを提供している[脚注3]。NCSCのリソースの利用は、企業(29%)よりも非営利団体(43%)の方が多い。これは、企業(第3波では29%、第1波では23%)および非営利団体(第3波では43%、第1波では32%)の両方で、第1波と第3波の間で増加していることを示しているが、第2波と比較すると同程度である。企業における利用率の低さは、企業がより多くのリソースと外部コンサルタントへのアクセスを有していることを反映している可能性がある。
Indeed, businesses are also more likely to report being influenced by external consultants since Wave One (53% vs. 47%). However, there is little change between Wave Two and Wave Three. 実際、企業は第1波調査(53% 対 47%)以降、外部コンサルタントの影響を受けていると報告する傾向が強まっている。しかし、第2波調査と第3波調査の間にはほとんど変化が見られない。
Since Wave One, more businesses (34% in Wave Three vs. 26% in Wave One) and charities (45% vs. 30%) report their actions on cyber security being influenced by their insurers. 第1波調査以降、企業(第3波調査では34%、第1波調査では26%)および非営利団体(45% 対 30%)の多くが、サイバーセキュリティ対策について保険会社から影響を受けたと報告している。
Among those organisations that use NCSC information or guidance, for both businesses and charities, the most common guidance accessed is General Data Protection Regulation (GDPR) guidance (by 67% of businesses and 68% of charities), followed by the ‘“10 Steps to Cyber Security’ (by 62% of businesses and 64% of charities). This is consistent with previous waves of the survey. NCSCの情報やガイダンスを利用している企業および非営利団体の間で、最もよく参照されているガイダンスは一般データ保護規則(GDPR)のガイダンス(企業:67%、非営利団体:68%)で、次いで「サイバーセキュリティへの10のステップ」(企業:62%、非営利団体:64%)となっている。これは、これまでの調査結果とも一致している。
In addition to this, among businesses, there has been an increase in usage of the Cyber Assessment Framework (57% in Wave Three vs. 41% in Wave One), NCSC weekly threat reports (45% vs. 32%), and Cyber Security Board Toolkit (34% vs. 23%). これに加えて、企業では、サイバーアセスメントフレームワーク(第3波では57%、第1波では41%)、NCSCの週次脅威報告書(45% vs. 32%)、サイバーセキュリティ委員会ツールキット(34% vs. 23%)の利用が増加している。
Cyber incident management サイバーインシデント管理
Part of building organisations’ cyber resilience also relates to the management processes they have put in place for when a cyber incident happens. 組織のサイバーレジリエンシーの構築の一部は、サイバーインシデントが発生した場合に備えて導入された管理プロセスにも関連している。
A majority of organisations have a written procedure in place for responding to cyber security incidents (59% of businesses, 56% of charities). Among businesses, this represents an increase compared to Wave One (59% in Wave Three compared to 51% in Wave One), though it has remained consistent since Wave Two. For charities, there has been little change between waves of the survey. This suggests that there is still space for these management processes to become more formalised among charities in future. 大半の組織では、サイバーセキュリティインシデントへの対応手順が文書化されている(企業では59%、非営利団体では56%)。企業では、第1回調査(第3回調査では59%であったのに対し、第1回調査では51%)と比較して増加しているが、第2回調査以降はほぼ横ばいである。非営利団体では、調査の各回でほとんど変化が見られない。このことは、今後、非営利団体において、これらの管理プロセスがより正式なものになる余地があることを示唆している。
Among those organisations that have written incident management procedures, the most common security area covered is guidance for reporting incidents externally (78% among businesses, 87% among charities). For businesses, this represents a decrease when compared to Wave Two (78% in Wave Three vs. 85% in Wave Two) but is in line with Wave One. There is also an increase in the proportion of businesses that have a communications and public engagement plan in place (from 55% in Wave One to 66% in Wave Three). For charities, the results in Wave Three are roughly comparable to previous waves of the survey. インシデント管理手順を文書化している組織のうち、最も広くカバーされているセキュリティ分野は、インシデントの外部報告に関する指針である(企業では78%、非営利団体では87%)。企業では、第2波と比較すると減少している(第3波では78%、第2波では85%)が、第1波と比較すると同水準である。また、コミュニケーションおよび社会参加計画を策定している企業の割合も増加している(第1波では55%であったのに対し、第3波では66%)。非営利団体については、第3波の結果は過去の調査結果とほぼ同様である。
Approximately half of businesses (46%) have tested their incident response policies within the last twelve months. This represents an increase from Wave One (46% vs. 37%). Around one-third of charities (34%) have tested their policies, which is in line with previous waves. 約半数の企業(46%)が、過去12か月以内にインシデント対応計画をテストしている。これは第1波(46% 対 37%)から増加していることを示している。非営利団体の約3分の1(34%)がポリシーをテストしており、これは過去の調査結果と一致している。
Prevalence and impact of cyber security incidents サイバーセキュリティインシデントの発生率と影響
Beyond simply getting a sense of organisations’ cyber incident response processes, it is also important to understand the prevalence of these incidents and the impact that they can have on organisations. 企業のサイバーインシデント対応プロセスを把握するだけでなく、これらのインシデントの発生率と企業に与える影響を理解することも重要である。
Three-quarters of businesses (75%) and around eight in ten charities (79%) have experienced a cyber security incident within the last twelve months. These findings are comparable across the three waves of the survey. 過去12か月以内にサイバーセキュリティインシデントを経験した企業は75%、非営利団体の8割(79%)に上る。これらの調査結果は、3回の調査を通じてほぼ同様である。
Despite this, the underlying data does show some change between waves. A higher proportion of charities experienced an attempted hacking of their website or social media accounts compared to Wave Two (18%, up from 11%). The equivalent proportion from businesses remained consistent across waves. しかし、根本的なデータには、調査の波ごとに若干の変化が見られる。非営利団体では、ウェブサイトやソーシャルメディアアカウントへのハッキング未遂を経験した割合が、第2波(18%、第1波の11%から増加)よりも高かった。企業では、同等の割合は調査の波を通じて一貫していた。
With regards to ransomware, the proportion of businesses that do not have a ransomware policy in place or are not sure whether they had one in place remained consistent with Wave Two. However, the proportion of charities who are unsure if a ransomware policy exists decreased in comparison to Wave Two (22% vs. 33%). ランサムウェアに関しては、ランサムウェア対策ポリシーを導入していない、または導入していたかどうか不明であるという企業の割合は、第2波と変わらなかった。しかし、ランサムウェア対策ポリシーの有無が不明である非営利団体の割合は、第2波と比較して減少した(22%対33%)。
Broadly, organisations reported that most cyber security incidents only rarely cause a material loss (e.g., money or data). Only around one-quarter of businesses (23%) and charities (24%) experiencing incidents in the last year report material consequences. Further to this, most of these losses are short-term. Despite this, it is important to note that cyber incidents still have the potential to cause significant costs for organisations. 概して、ほとんどのサイバーセキュリティインシデントは、金銭やデータの損失といった重大な被害をもたらすことはまれであると、企業は報告している。過去1年間にインシデントを経験した企業(23%)および非営利団体(24%)のうち、重大な被害を報告しているのは約4分の1のみである。さらに、これらの損失のほとんどは短期間のものである。しかし、サイバーインシデントは依然として、企業にとって多大なコストを発生させる可能性があることに留意すべきである。
Longitudinal analysis 経年分析
The longitudinal analysis is comprised of three components. First, a segmentation technique was used to group together organisations that used similar patterns of protective behaviours, policies and processes. It identified five distinct groups of organisations according to a combination of the number and types of protective practices used. The segmentation is based on robust cyber resilience requiring the adoption of technical and governance policies, procedures and tools to protect against incidents and mitigate impacts and outcomes. The five groups identified are: 縦断的分析は3つの要素で構成されている。まず、類似した防御行動、ポリシー、プロセスのパターンを使用している組織をグループ化するために、セグメンテーション技術が使用された。使用された防御策の数とタイプの組み合わせにより、5つの異なる組織グループが識別された。セグメンテーションは、インシデントから防御し、その影響と結果を低減するための技術的およびガバナンスのポリシー、手順、ツールの採用を必要とする、強固なサイバーレジリエンシーに基づいている。識別された5つのグループは以下の通りである。
High level of preparation: protection well above the average level on all activities. 高度な準備:すべての活動において平均を大きく上回る防御を行っている。
Mostly prepared: mostly above average protection on all items but to a lesser extent than those in the ‘high’ level group. 概ね準備済み:すべての項目において平均を上回る防御を行っているが、「高度」レベルのグループよりも程度は低い。
Governance led: protection was around or above average for policy and procedures but low on technical responses. ガバナンス主導:ポリシーと手順については平均程度または平均を上回る防御を行っているが、技術的な対応は低い。
Technical led: tended to have had recent improvements in network security, malware defence, authentication and secure backup but lower than average governance. 技術主導:ネットワークセキュリティ、マルウェア防御、認証、安全なバックアップについては最近改善された傾向にあるが、ガバナンスは平均以下である。
Low level of preparation: protection was low across all activities, except secure cloud backup. 準備レベルが低い:防御は、セキュアなクラウドバックアップを除き、すべての活動において低かった。
Patterns of cyber security resilience were found to vary across organisations with some organisations using many practices, others few; some organisations rely more on governance procedures and others on technical practices. サイバーセキュリティのレジリエンスのパターンは、多くの慣行を採用する組織もあれば、そうでない組織もあるなど、組織によって異なることが分かった。また、ガバナンス手順に重点を置く組織もあれば、技術的慣行に重点を置く組織もある。
The pathways of cyber resilience are not one way. Some organisations take a step back and lower their levels of resilience, others take a step forward and many remain at stable levels. サイバーレジリエンスの経路は一つではない。後退してレジリエンスのレベルを下げる組織もあれば、前進してレベルを上げる組織もある。また、多くの組織は安定したレベルを維持している。
There is some evidence supporting the hypothesis that experiencing a cyber security incident acts as a trigger for improving resilience. However, this is not true for all organisations, as some experience an incident and show no change in their resilience or become less resilient. More needs to be known about the context and other factors influencing protective behaviours alongside experience of cyber incidents. サイバーセキュリティインシデントを経験することがレジリエンスの改善の引き金となるという仮説を裏付ける証拠がある。しかし、インシデントを経験してもレジリエンスに変化が見られない、あるいはレジリエンスが低下する組織もあるため、これはすべての組織に当てはまるわけではない。サイバーインシデントの経験と並行して防御行動に影響を与える背景やその他の要因について、さらに知る必要がある。
The second aspect of the longitudinal analysis looked at adherence to cyber security certifications or standards. The analysis found that: 縦断的分析の2つ目の側面では、サイバーセキュリティ認証または標準への準拠について調べた。分析の結果、以下のことが明らかになった。
・Adherence to cyber security certifications or standards is quite low. ・サイバーセキュリティ認証または標準への準拠率はかなり低い。
・Adoption of adherence to certifications or standards is most prevalent amongst those with stronger patterns of resilience than those with less resilient protection. Similarly, losing adherence to accreditations or standards was less likely among more resilient organisations. ・認証または標準への準拠の採用は、防御のレジリエンシーが低い企業よりも高い企業でより多く見られる。同様に、認定または標準への準拠を失う可能性は、レジリエンスの高い企業の方が低い。
・Businesses are more likely than charities to retain their adherence to accreditations or standards but no more likely to take up certifications. ・企業は非営利団体よりも認定または標準への準拠を維持する可能性が高いが、認証を受ける可能性は高くない。
・Experience of a cyber security incident appears to trigger either a take-up of adherence to certifications or standards or retention of these, albeit among a minority of organisations. ・サイバーセキュリティインシデントの経験は、認証や標準への準拠の採用または維持のいずれかを促すようだが、その割合は少数の組織に限られている。
The third and final part of the longitudinal analysis covered board representation. The main findings include: 縦断的分析の3つ目で最後の部分では、取締役会の代表を取り上げた。主な調査結果は以下の通りである。
・Various board activities supporting cyber resilience exist, but substantial numbers of organisations do not appear to have much, if any, board engagement across these activities. ・サイバーレジリエンスを支えるさまざまな取締役会の活動が存在するが、かなりの数の組織では、これらの活動に取締役会が関与していることはほとんどないか、まったくないようである。
・Board engagement involves both negative and positive steps but generally the trend is towards more engagement over time (i.e., in the follow-up wave interview). Improvement is more apparent for organisations with lower patterns of cyber resilience. ・取締役会の関与には、否定的な措置と肯定的な措置の両方が含まれるが、全体的には、時間の経過とともに(すなわち、フォローアップ調査のインタビューにおいて)関与が深まる傾向にある。サイバーレジリエンスのパターンが低い組織では、改善がより顕著である。
・The experience of cyber security incidents again appears to trigger adoption of board activities and/or a lower rate of negative change in board engagement, although only for a minority of organisations that experience such incidents. ・サイバーセキュリティインシデントの経験は、再び、取締役会の活動の採用や、取締役会の関与における否定的な変化の割合の低下を促すようであるが、そのようなインシデントを経験する組織は少数派である。

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.05.11 英国 サイバーセキュリティ侵害調査 2023年 (2023.04.19)

・2022.08.20 英国 デジタル・文化・メディア・スポーツ省 サイバーセキュリティ侵害を起こした組織にインタビューした報告書...

・2022.01.28 英国 デジタル・文化・メディア・スポーツ省 サイバーセキュリティ長期調査:第1回

・2021.03.26 英国 デジタル・文化・メディア・スポーツ省 「サイバーセキュリティ侵害調査報告書2021」

 

|

« 米国 連邦金融機関審査委員会(FFIEC) 「開発、取得、保守」小冊子(検査員も使うよ)の改訂 (2024.08.29) | Main | 米国 ホワイトハウス 国家サイバー長官室 インターネットルーティング・セキュリティ強化に向けたロードマップを発表 (2024.09.03) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 米国 連邦金融機関審査委員会(FFIEC) 「開発、取得、保守」小冊子(検査員も使うよ)の改訂 (2024.08.29) | Main | 米国 ホワイトハウス 国家サイバー長官室 インターネットルーティング・セキュリティ強化に向けたロードマップを発表 (2024.09.03) »