【戦略】WEFサイバーセキュリティ展望2024 〜格差拡大でバリューチェーン脆弱性悪化〜

　世界経済フォーラム（WEF）は1月11日、世界経済フォーラム年次総会（ダボス会議）に合わせて、アクセンチュアと協同で、サイバーセキュリティの専門家とビジネスリーダーを対象とした今後のサイバーセキュリティに関する調査結果を報告している。

　2024年版は2023年6月から11月までの間に、サイバーセキュリティの専門家とビジネスリーダー300名以上を対象に調査を実施。サイバーセキュリティリスクは、WEFが毎年発表しているグローバルリスク報告書の2024年版においても、上位10位内のリスクとしてランクインした。サイバーセキュリティとレジリエンスにおけるリスクについてみていこう。

【参考】【国際】世界経済フォーラム、グローバルリスク報告書2024年版発表。気候変動系1位。偽情報も（2024年1月11日）
【参考】【国際】世界経済フォーラム、サイバーセキュリティ2023年版調査結果。2年以内に壊滅的な攻撃リスク（2023年1月23日）

サイバーセキュリティ対策の格差拡大

　ガートナーの調査では、サイバーセキュリティ市場は2022年には世界経済の成長率の2倍の速さで成長し、2023年には4倍の速さで成長するとされている。サイバーセキュリティのレジリエンスを高めるための投資も増加。急速な市場の発展により経済的、社会的な恩恵を受ける裕福な国とは対照的に、新興国は遅れを取り続ける状況が加速している。

　同報告書の調査では、組織のサイバーセキュリティに関するケーパビリティに大きな格差が生じていることが判明した。具体的には、必要最低限のサイバーレジリエンスを備えていると回答した企業は、2022年の67%から2024年には36%にまで減少しており、不十分だと回答した企業は14%から25%まで増加、十分に備えていると回答した企業は19%から39%にまで増加した。

　このように中間層の割合が減少し格差が拡大している。企業規模別では、中小企業はサイバーレジリエンスを獲得できておらず、大企業は十分な能力を備えつつある傾向にある。加えて、従業員数が10万人を超える大企業の85%がサイバー保険に加入しているのに対し、従業員が250人以下の企業では21%しか加入していない。企業の98%は過去2年間にサイバー攻撃を経験した1社以上の企業と契約を結んでいるという調査結果もある。

　今後もこの格差は拡大し続けるため、大企業を含めた市場全体の大きなリスクだと報告。WEFのサイバーセキュリティに関する年次総会に参加した世界大手企業CEO120名のうち90%が、この問題に対して緊急のアクションが必要だと回答した。

（出所）WEF

地政学的リスクと生成AIによる新たな脅威

　地政学的リスクが組織のサイバーセキュリティ戦略に中程度以上の影響を与えていると回答した割合は、2023年版の報告書では74%、2024年版では70%だった。今回調査した37人の最高情報セキュリティ責任者（CISO）の32%が脅威情報レポートの利用頻度を増やし、インシデント計画を強化することで対応しようとしている。

　地政学的な観点での重要インフラやグローバルサプライチェーンへの攻撃だけではなく、人工知能（AI）によるリスクも高まっている。特に2024年は世界のGDPの50%以上を占める45カ国で選挙が実施される。2023年9月のスロバキアの選挙では、候補者がメディア関係者と選挙を操作する方法について議論しているディープフェイクを用いた音声クリップが公開された。

　同報告書では2024年の選挙の際に注意すべき6つのリスク分野をまとめた。

1. 誤報と偽情報：ソーシャルメディア（SNS）等を通じて誤報、偽情報を展開する組織的キャンペーンが世論と選挙結果に影響を与える可能性
2. ディープフェイク：AIが生成したディープフェイクの動画や音声が候補者に関する偽情報の発信、世論の操作に活用されるリスク
3. 自動生成された偽情報：AIのアルゴリズムにより偽情報が大量生成されることによる検知や対策の難しさ
4. ターゲット広告：パーソナライズされた広告により有権者に誤った情報や偽情報の提供
5. 個人情報漏洩：投票情報に紐づく個人IDや住所情報等が漏洩するリスク
6. SNS情報のアルゴリズム操作：特定の政治的なメッセージの強調や抑制を行い世論に影響を与える可能性

　また、生成AIと量子コンピューター技術に対するリスクへの意識も高まっている。2022年版の調査では回答者の約50%が今後2年間でサイバーセキュリティに最も影響を与えるテーマとして自動化と機械学習を挙げた。2024年版の業界別の結果では、サイバーセキュリティ業界は65%、農業は63%、銀行と保険業界は56%が、生成AIをサイバーセキュリティに最も影響を与えるテーマとして挙げた。

（出所）WEF

　生成AIが防御側よりも攻撃側に有利に働くと回答した割合は56%であり、偽のメールやショートメッセージで偽サイトに誘導するフィッシングやマルウェア等がより巧妙に進化するリスクがある。2023年にはサイバー攻撃に特化したFraudGPTやWormGPT等のサブスクリプション型の生成AIサービスが登場しており、リスクが高まっている。

　一方で、大規模言語モデル（LLM）を活用しセキュリティを高めることも可能だとした。例えば、ソフトウェア開発におけるセキュリティ関連の設計ミスや実装漏れ等のヒューマンエラーの回避、セキュリティ・オペレーション・センター（SOC）でのアラートやインシデントの検知や管理の強化を紹介した。

サイバーセキュリティに関するスキルと人材の不足

　サイバーセキュリティに対応するためのスキルと人材が不足していると回答した企業の割合は年々高まっている。2022年には6%だったが、2023年には12%、2024年には20%にまで上昇。必要なスキルセットがあるかどうかわからないと答えた割合も、2022年の4%から2024年には11%に増加した。小規模な企業では約49%が同様の回答をしており、この傾向が顕著に表れた。

（出所）WEF

　小規模な企業でスキルが不足していると回答したうちの15%は、従業員に対して自主的にスキルアップすることを期待していると回答したが、大企業で同様の回答をした割合は4%に過ぎない。小規模な企業ほどサイバーセキュリティ関連のスキルセットを確保する工夫が求められている。

　WEFのサイバーセキュリティセンターは「Cyber Skills Gap initiative」を設立し、サイバーセキュリティ人材が活躍できるようにするためのアクションを検討している。

サイバーリーダーとビジネスリーダーの連携の必要性

　過去1年以内にサイバー攻撃による重要な影響があったと回答した割合は29%だった。インシデントが発生した場合の最大のリスクが業務の中断だと答えた割合はサイバーリーダーが50%、ビジネスリーダーが40%と最も多く、サイバーレジリエンスを高めるための課題として「リソースやスキルの不足」と回答した割合は、それぞれ最も多い32%と38%であり、サイバーリーダーとビジネスリーダーの認識は一致していた。

　サイバーリーダーは課題として、第2位に「レガシー技術の堅持」が29%、第3位に「変革に対する組織文化的な抵抗」が25%となったが、ビジネスリーダーはそれぞれ14%と8%しか課題として挙げておらず意見が別れた。

　意識の違いが結果として、古いシステムや技術のアップデート速度を遅くさせ、リスクとサイバー組織が古い技術をメンテナンスする負担も増加すると報告。サプライチェーン内の小規模な企業の監視と支援に関する業務が進まず、サイバーセキュリティ全体のリスクにつながると指摘した。

　加えて、サイバーレジリエンスと最高経営責任者（CEO）の関与の関係性も重要であることが示唆された。自組織がサイバーレジリエンスのリーダーだと考えている回答者の93%が、CEOが自組織のサイバーリスクについて対外的に発信することに信頼を寄せている一方で、サイバーレジリエンスが低い組織では23%しかない。サイバー組織だけではなく、CEOを含めたビジネスリーダーの協力が改めて求められている。

サプライヤー、規制当局、保険業界との連携の重要性

　サイバーレジリエンスを高めるためには、企業内だけの連携を強化するだけでは不十分である。過去1年間で重大なインシデントが発生した組織の41%は外部のサードパーティに原因があると回答しているが、今後2年間で自社のエコシステム全体でサイバーセキュリティに関する連携が大幅に改善すると楽観視しているリーダーは23％に過ぎない。

　リスク軽減の観点では、サイバーセキュリティとプライバシーに関する規制は企業の組織のリスクを効果的に軽減すると回答した企業リーダーの割合は、2022年の39%から2024年には65%に増加した。

　サイバー保険も金銭的なリスクを軽減するための貴重なツールだが、加入する企業の割合は2022年から2024年の間に全体で24%減少。大企業であってもコストの点からサイバー保険に加入しない場合があり、リスク軽減のために他テーマに予算を配分していることが考えられる。保険業界に対して、料率の設定方法、サイバー行動へのインセンティブ等の透明性の向上を呼びかけた。

　最も連携が求められる分野の1つであるサプライチェーンに対しては、54%の企業がサプライチェーンにおける脆弱性を十分に理解しておらず、51%がサプライチェーン上のパートナーからサイバーセキュリティに関する体制や取り組みの情報提供を求めていないと回答した。

　企業規模別では、小規模な企業の約71%は過去1年以内にサイバーセキュリティに関する情報提供を求められておらず、大企業は約71%が情報提供を求められる真逆の結果となった。また、事業運営に必要最低限のサイバーレジリエンスが備わっていると回答した企業幹部の約64%は、サプライチェーン上のサイバー脆弱性について十分に理解していないと回答した。

　2023年6月には、ファイル転送ソフト「MOVEit」の脆弱性に対してランサムウエア（身代金要求型ウイルス攻撃）型の攻撃が実行され、社会保険、医療、財務等の個人が特定できる情報が大量に盗まれた結果、数千の組織、数百万人の個人、数百万ドルの被害があった。

　バリューチェーン全体での取り組みに関する参考事例としてWEFの電力業界のサイバーレジリエンスを高めるためのイニシアチブ「Systems of Cyber Resilience: Electricity (SCRE) 」が2020年10月に発表した、電力業界のステークホルダーとのコンセンサスに基づく電力業界のバリューチェーン全体におけるサイバーセキュリティ関連の役割と責任を定義した報告書を紹介した。

（出所）WEF

まとめ

　大企業と中小企業のサイバーレジリエンスに関する格差は拡大しており、サプライチェーン全体のリスクを増加させている。特にグローバル企業は、パートナーである中小企業が標的にされるのを防ぎ、レベルを高めるためにより大きな役割と責任を果たす必要がある。

　同時に大企業だけではなく、中小企業、規制当局、保険業界等、すべてのステークホルダーが積極的に協力し、バリューチェーン全体でサイバーレジリエンスを高める必要性を訴えた。

【参照ページ】Widening Disparities and Growing Threats Cloud Global Cybersecurity Outlook for 2024
【参照ページ】Cyber Resilience in the Electricity Ecosystem: Securing the Value Chain

株式会社ニューラル　サステナビリティ研究所