1年間の日本企業のサイバー被害事例194件を分析したところ、サイバー攻撃を検知してから初報を出すまでにかかる日数の中央値は11日だった。

同社は、2021年10月から2022年9月までのサイバー被害について調査した。その結果、全体の約半数がサイバー攻撃を検知してから1週間以内に公表していることが分かった。対象を上場企業に限定した場合、初報までの日数の中央値は5.5日であったといい、一方、非上場企業は14.5日と、上場企業と比べて対応の遅さが際立つ結果が出たという。

同社は「2週間以上経過後に公表する場合は、一般的には『公表が遅い』という印象を与える可能性がある」と指摘。時間を要する場合には、遅れた経緯を示すことを推奨している。

企業がサイバー被害を公表する曜日は「月曜日」「火曜日」が2割超と最も多かった。上場企業では「火曜日」が3割を占めた。

サイバー攻撃は監視が緩む週末に集中する場合が多い。休日にサイバー被害を報告する企業もあり、そのうちの多くが消費者向けビジネス（BtoC）を営む企業だった。BtoCの企業は顧客への対応が信頼性の肝となるため、サイバー攻撃への対処も早い傾向にあった。調査によれば、サイバー攻撃の検知の当日か、少なくとも2日以内には公表していたようだ。

公表内容については、「対応状況」と「今後の対応」に関する記載が少ない傾向にあった。利用者や投資家はサイバー被害の情報を受け取った場合、企業がどのように対応するかに注目する。同社は「組織のセキュリティに対する姿勢を示すため」にも、今後の対応を記載することを勧めた。

【関連リンク】

・日本企業、サイバー被害検知から公表に11日間（日本経済新聞）
https://www.nikkei.com/article/DGKKZO71015380V10C23A5TEB000/?type=my

TEXT：PreBell編集部
PHOTO：iStock