(出典:Shutterstock)


欧州連合サイバーセキュリティ機関(ENISA)(注1)は、サイバーセキュリティに関する最新動向や提言などがまとめられた報告書「ENISA Threat Landscape」を2012年からから毎年発表しているが(注2)、本稿ではその2022年版(11月3日発表)を紹介する。

2022年版の調査対象範囲は2021年7月から2022年7月までとなっており、本報告書は下記URLから無償でダウンロードできる。
https://www.enisa.europa.eu/publications/enisa-threat-landscape-2022
(PDF 150ページ/約 5.2 MB)

目次構成は次のようになっており、3. 以降のカテゴリーは前年版から若干見直されている。

1. Threat Landscape Overview
2. Threat Actor Trends
3. Ransomware
4. Malware
5. Social Engineering
6. Threats Against Data
7. Threats Against Availability: Denial Of Service
8. Threats Against Availability: Internet Threats
9. Disinformation- Misinformation
10. Supply Chain Attacks

2020年版では各カテゴリーごとに別の冊子になったが、2021年版からは再び一冊にまとめられるようになった。

本報告書は付録部分を除いても90ページほどあるので、本稿では各カテゴリーごとの内容に踏み込むのは避け、最初の「1. Threat Landscape Overview」から2つの図をピックアップして紹介する。

図1は、調査対象期間内に発生したセキュリティインシデントの件数を業種ごとにまとめたグラフである。バーはレピュテーションに対する影響の大きさによって色分けされており、左側から順に「高い」(赤)、「低い」(緑)、「中程度」(黄)、「不明」(青)となっている。公的機関や政府(Public administration/Government)においては、インシデントの件数自体が最も多いが、レピュテーションに対する影響が高かったインシデントの割合も高かったことが示されている。

画像を拡大 図1.  業種ごとのセキュリティインシデント発生件数と、レピュテーションに対する影響の程度 (出典:ENISA / Threat Landscape 2022)


また、全体的にレピュテーションに対する影響の程度が不明であるという青色の部分が多いが、これに関して本報告書では、次の2つの理由が含まれていると推測されている。1つめの理由は、どの程度の影響があったのかが明確でないことであり、もうひとつの理由は、レピュテーションへの悪影響が拡大するのを避けるために情報を開示していないことである。これらがどのくらいの割合で含まれているのかは分からないが、もし2つめの理由がそれなりに多く含まれていたならば、レピュテーションに対する影響は図1よりもさらに大きかったということになる。