中東企業のセキュリティ侵害報告が「100社中2社」にとどまる“隠匿文化”の正体：欧州は18社が報告

調査によると、中東主要企業100社でのセキュリティ侵害の報告件数は2023年8月からの1年間でわずか2件だった。この数字は本当に中東企業の防御力を反映したものなのか。専門家間でも見解が分かれる、その実態とは。

[Mark Ballard，TechTarget]

　セキュリティベンダーSecurityScorecardの調査レポートによると、中東の主要上場企業100社のうち、2023年8月からの1年間にセキュリティ侵害を報告したのはわずか2社だった。これほど被害報告が少ないのはなぜなのか。

中東企業の被害が少ない“本当の理由”

併せて読みたいお薦め記事

サイバー攻撃の被害と被害額の相場は

• データが漏えいしたら、企業はどれだけ損をする？　IBM調査で判明
• 身代金「100億円超え」　事件を語りたがらないランサムウェア被害者の正体

　SecurityScorecardは2023年8月から2024年8月における、企業のセキュリティ体制や被害報告などの情報を基に、企業に対するセキュリティ評価を実施した。その結果をまとめた調査レポート「The Middle East’s Top 100 Companies: Cybersecurity Threat Report」によると、欧州の主要企業100社のうち対象期間中にセキュリティ侵害に遭ったのは18社だった。欧州の企業の報告数と比較して、中東地域の2社という記録は印象的だ。

　中東地域の中でも特に湾岸諸国は、石油依存型の中央集権国家から情報通信技術を軸とする経済に移行する中で、サイバーセキュリティ分野への投資を積極的に実施してきた。一方で一部の専門家は、サイバーレジリエンス（回復力）に不可欠である情報開示の義務を定めた法律の整備において、中東地域は欧州や米国に後れを取っていると指摘する。

　SecurityScorecardのバイスプレジデントであるライアン・シャーストビトフ氏は、2024年に中東地域の企業が経験したセキュリティ侵害の8割は未報告だと推測する。「中東地域では、北米や欧州の一部と異なり、サイバーインシデント報告の義務が厳密に定められていない。そのため、インシデントの大半は公にならない」（同氏）

　シャーストビトフ氏によると、中東地域の企業のサイバーインシデントが公になる場合は限られる。公表されるのは、外国企業の子会社が標的になり、かつ親会社の本国の法律報告がインシデント報告を義務付けている場合だという。

　SecurityScorecardが調査対象とした中東地域の主要企業100社には、湾岸諸国にある国営銀行、エネルギー企業、公益事業会社などが集中している。これらの企業は、地政学的な理由から攻撃対象になりやすい。その事実が防御力向上の原動力となり、サイバーセキュリティへの防御体制の構築を進めた。ITU（国際電気通信連合）が2024年に公開した、各国におけるサイバーセキュリティの取り組み状況をスコアリングした調査レポート「Global Cybersecurity Index：GCI」の第5版によると、湾岸諸国はサイバー防衛力の改善を進める地域として最上位にランクインしている。シェルストビトフ氏は、中東地域の企業におけるセキュリティ侵害の被害件数が少なかった主な理由は、防御体制にあると述べる。

　中東地域のセキュリティに関する知見を持つ専門家、ロス・ブリューワー氏は、中東および北アフリカ（MENA）地域のサイバーレジリエンスへの巨額の投資は、書類上は十分に見えるが実際の効果には疑問があると述べる。ブリューワー氏の見方では、西洋社会では悪い知らせは速やかに広まりやすい一方、中東地域では、政府が関与していれば悪い知らせは広まりにくい。中東地域は世界中の観光客を引き付ける魅力的な観光地を築きたいため、良い印象を示したいという意図があると同氏はみる。

　「こうした『見えを張りたい国々』の企業は、インシデントを報告しない」とブリューワー氏は指摘する。続けて、「中東地域内外のあらゆる通信を政府が厳格に管理しているため、攻撃者を捕らえるのには効果的だ」と述べる。同氏によると、MENA地域のサイバー防御への投資は性急で粗があり、断片的で脆弱（ぜいじゃく）だ。

　この点に対し、ドバイを拠点とするセキュリティコンサルティング企業Cyber Security Allianceのバラット・ライガンガリ氏は、「中東地域の大手企業が抱える、第三者経由でのセキュリティ侵害リスクに対処するには、独立したセキュリティ格付け機関が必要だ」と述べる。ライガンガリ氏はUAE Cybersecurity Councilの支援を受けて、セキュリティ格付け機関の設立を目指しているが、「実現は簡単ではない」と語る。UAE Cybersecurity Councilは、2020年11月にアラブ首長国連邦が設立した政府機関で、国家のサイバーセキュリティ戦略を策定、推進する。

　ライランガリ氏は、「中東地域の企業がインシデントの報告に消極的だったため、被害件数が少ないのは事実だ」と認める。同時に、「同地域のセキュリティ対策と関連規制は急速に成熟しつつあり、西側諸国に追い付こうとしている」とも説明する。

　中東地域のセキュリティ体制の進化を肯定する声は他にもある。

　MENA地域の大手銀行で社外とのセキュリティを担当するイェドゥ・クリシュナ・メノン氏は、セキュリティ侵害の報告件数が少ないのは防御力が高いことの表れだと語る。

　メノン氏によると、セキュリティ侵害の発生を隠すことは、中東を含むMENA地域に限ったことではない。地域に対する評判の損失、ネガティブな報道、偏見を恐れることは「世界共通の問題」であり、企業が大半のセキュリティ侵害を報告しないのは「事業への悪影響を防ぎたいから」だというのだ。「MENA地域の文化は進化しており、以前とは違う」と同氏は説明する。

　ドバイの法律事務所Taylor Wessingのパートナー、ムニール・スボール氏は、「この地域の企業がセキュリティ侵害を報告しないのは一般的な慣習であり、政府に報告しても公にはされない」と述べる。

　ギリシャのセキュリティベンダーObrela Security IndustriesでMENA地域のマネージングディレクターを務め、UAEのサイバーセキュリティ当局と連携しているニック・ルーマキス氏は、MENA地域におけるセキュリティ侵害の報告件数が少ないという見解は正しいとの意見を示す。

　ルーマキス氏によると、同氏が関わったインシデント対処には常に政府関係者が同席していたが、同氏が被害を受けた大企業として把握のはするはわずか1社だ。「体面を保つために隠しているとは思わない。被害を隠すのは簡単ではないからだ」と同氏は説明する。MENA地域における政府による大企業の管理と寡占的な経済構造が、攻撃者の効果的な排除を可能にしているというのが同氏の考えだ。

TechTarget.AIとは

TechTarget.AI編集部は生成AIなどのサービスを利用し、米国Informa TechTargetの記事を翻訳して国内向けにお届けします。