-
2021/10/11 10:00
-
SecurityInsight
サイバーセキュリティクラウドは10月6日、昨年9月1日から今年8月31日までに公表された法人・団体における不正アクセスに関する個人情報漏洩数1000件以上の主な個人情報流出事案に基づき、サイバー攻撃の発生から発覚・公表までの期間に関する調査レポートを発表した。
サイバーセキュリティクラウドは10月6日、昨年9月1日から今年8月31日までに公表された法人・団体における不正アクセスに関する個人情報漏洩数1000件以上の主な個人情報流出事案に基づき、サイバー攻撃の発生から発覚・公表までの期間に関する調査レポートを発表した。その概要は以下のとおり。
法人や団体がサイバー攻撃を受けた攻撃の「発生日」から攻撃に気づいた「発覚日」までに、平均349日を要していた。これは、2020年の調査と比較すると34日短期化している。
また、「発覚日」から被害が公表された「公表日」までには平均82日を要しており、2020年調査と比較すると13日短くなっている。攻撃の発生から発覚までやや短期化したものの、依然として法人や団体は1年近くもの間、サイバー攻撃の被害に気づいておらず、さらに発覚から公表するまでにかかった時間が増加していることが分かった。
調査対象期間中の事案を「発生」から「発覚」までに要した期間を「30日以内」「30日超90日以内」「90日超180日以内」「180日超1年以内」に分類した場合、発生してから発覚するまでに90日超を要した事案が、全体の6割を超えた。
これは2020年調査時(90日超:51.7%)と比較して10ポイント近く増加している。また「30日以内」が11.9ポイント減少し、「1年超」が7.7ポイント増加している。発見までに時間がかかっている要因の一つとして、新型コロナ禍でオンライン化が進む中、企業が攻撃を発見する仕組みが整備されていないことや、定期的なセキュリティチェック体制を構築できていないことが考えられる。
「発覚日」から「公表日」までを分類した場合、発覚してから公表するまでに90日超を要した事案が全体の34.3%を占め、2020年調査と比較して3.5ポイント増加した。
公表までに被害の原因や影響範囲の特定、利害関係者への通知・説明が求められる中、企業側の人的リソースが不十分だったり、コミュニケーションや連携がうまく取れていないことで公表までの時間が長期化していると考えられる。
また、2022年4月までに全面施行される改正個人情報保護法では、本人への通知や個人情報保護委員会への報告の義務化など事業者の責務が追加されるため、公表にかかる時間がさらに増えることも予想される。
関連リンク
プレスリリース
