ここから本文です

サイバー犯罪者は必ずしも高度で最新の攻撃手段を使わない

3/29(水) 9:10配信

ライフハッカー[日本版]

Ciscoがこのほど、10回目の「年次サイバーセキュリティ・レポート2017 年版」を発表しました。報告内容のいくつかは、すべての企業の所有者、経営者、従業員にとって憂慮すべき問題です。

【サイバー犯罪者が好んで使う武器は?】

「サイバーセキュリティ・レポート:企業のセキュリティ最高責任者(CSO)が明かす、侵害による損失の実態と組織の対応策」という副題のついたCiscoの2017年版レポートは、同社のセキュリティエキスパートが集めた脅威情報、そして13か国の企業のCSOやセキュリティ運用責任者約3,000人から得た調査回答に基づく知見を提供しています。

Ciscoのまとめた2016年の実態には、以下のようなものがありました。

・セキュリティの侵害を受けた組織の50%以上が、その後、世間の厳しい監視の目にさらされました。侵害によって最も重大な影響を受けるのは業務システムおよび財務システムで、2番目は、ブランドへの評価、3番目は、顧客維持でした。(情報漏洩の影響は各方面に波及することを企業関係者は心しておくべきです)。

・被害の影響は甚大で、侵害を受けた組織の22%が顧客を失い、そのうちの40%が、20%以上の顧客を失っています。また、侵害を受けた組織の29%が収益を失い、うち38%が20%以上の収益を失っています。侵害を受けた組織の23%が事業機会を失い、うち42%が20%以上の機会を失っています。(影響は甚大です)。

・セキュリティ対策の強化を阻む障壁として企業のCSOらが挙げているのは、予算の制約、システムの互換性の低さ、人材不足です。また、セキュリティ運用責任者たちの回答から、セキュリティ部門の環境がますます複雑化していることも浮き彫りになりました。回答組織の3分の2近くが、6種類以上のセキュリティ製品を使用し、その数が50以上にのぼる企業も少なくないのです! そのために、優れたツールがあっても効果的に使用できなかったり、間違いをしたりする可能性がますます高くなっています。(複雑なツールと人材不足が企業を危険にさらしているのです)。

・攻撃者は、アドウェアやスパムメールといった「古典的」な攻撃手法を活用し、複雑化によって生じたセキュリティギャップをいとも簡単に突いてくることもわかりました。(多くの場合、単純な攻撃で事足りるため、攻撃者は、高度な攻撃手法を考案・実行する必要もありません)。

・スパムメールの量は、現在、2010年以来最多で、Eメールの総数のおよそ3分の2を占めています。そしてスパムの8~10%が、完全に悪意のあるものです。世界のスパム量は増加しており、その多くが、大規模かつ活発なボットネット(攻撃者によって構築され、インターネット経由の命令によって遠隔操作をされているデバイス群、またはネットワーク)によって拡散されています。(スパムがいつまでもなくならないのは、それが功を奏するからなのです!)

・従来型のアドウェア(ユーザーの許可なしに広告をダウンロードしてしまうソフトウェア)が、依然威力を発揮し続け、調査対象の組織の75%がアドウェアに感染していることがわかりました。

・組織は、受信したセキュリティアラートのうち、56%しか調査できていないことがわかりました。そして問題の修正に至ったのは、適切なアラートのうち半分以下でした。防御側は、もっているツールの性能を信頼してはいるものの、運用の複雑さと人材の問題で、効果的に使用できていないのです。こうした、重要なセキュリティ要件への組織の対応が追いつかないという実情に、攻撃者はつけこんでいるのです。(アラートが多すぎるために「オオカミ少年」状態になる(アラートを真剣に受け止めなくなる)、そして、重要なアラートが本当に多すぎてセキュリティ担当者が対応しきれないケースが少なくないのです。)

・従業員が、事業機会や効率性を増大させるつもりで導入したサードパーティ製クラウド・アプリケーションの27%が高リスクに分類されました。(安易に導入したアプリが、かえってリスクを高めてしまうことがあるのです。)

・ポジティブな面としては、2016年に侵害を経験した組織の90%が、脅威に対する防御テクノロジーやプロセスの改善を報告しています。具体的な対応策として、IT部門からセキュリティ担当チームを分離した(38%)、従業員のセキュリティの認識トレーニングを増やした(37%)、リスク軽減策を増やした(37%)――などが挙げられています。(侵害の被害に遭った企業は、将来の問題に備え、投資するようになったのです。)

このレポートについて、Ciscoのセキュリティ&トラスト・グループのシニア・バイス・プレジデント兼最高責任者John N. Stewart氏は、このようにまとめています。「2017年、サイバースペースとビジネスの持ちつ持たれつの関係はますます深まり、これまでとは異なるやり取り、これまでとは異なる対策が必要となります。絶え間ない改善が必要で、有効性、コスト、リスク管理度でその効果を検証すべきです。「年次サイバーセキュリティ・レポート2017年版」は、各企業の予算、人材、イノベーション、アーキテクチャに関する課題の答えを示していますが、同時に、皆さんの取り組みの正しさも示しているよう願っています」

以下は、その他の業界関係者のコメントです。

Head of Global Product MarketingとVASCO Data Securityの代表、David Vergara氏:「このレポートで非常に明確になった点が2つあります。まず、サイバー犯罪者が好んで使う武器は、必ずしも高度で最新の攻撃手段ではないこと。最も手ぬるいパスが狙われやすいので、セキュリティで後れを取っている企業は注意してください。2点目は、顧客、収入、事業の損失など、侵害による損害が著しくなっていることです。この深刻さを考慮し、セキュリティ・リソースに関する検討をもっと徹底的に行って、関連したビジネスを支えるべきです」

STEALTHbits Technologies社製品管理責任者、Brad Bussie氏:


「この調査、他の調査も含む幾多の統計が、もはや資産のリスクを正しく計算することはできない、という憂慮すべき傾向を示しています。ただ、特定のシステムが侵害されたら、顧客、収益、機会などの損失額がどのくらいになるか、考えてみることはできます。そのシステムを防御するコストと比較してみてください」

NuData Security 社セキュリティ・エンジニア、Don Duncan氏:

「侵害を受けた組織の22%が顧客を失っていること、また、そのうちの多くが、顧客全体の20%を失ったという、というCiscoの調査結果は、企業が侵害を公表すべきかどうか検討する際に突きつけられる厳しい現実です。いずれ公表を義務化するような法令が設けられるでしょう。そうなるまでは、あまりにもリスクが大きいため、皆が公表を恐れ、申告されている被害の件数は、実際よりもかなり低くなっているはずです」

Business Development社、Lastline社副社長、 Brian Laing氏:

「Ciscoの情報漏洩レポートは、企業の機密データを盗み出すために犯罪者が使う手口が進化し続けていること、そしてその業績に及ぼす影響を浮き彫りにしています。各企業は、セキュリティ機能の強化・拡張を続け、犯罪組織が絶え間なく取り入れる新たな手法や、プログラム、テクノロジーについていかなければならないのです」


New Report: Businesses Suffer Serious, Measurable Damage From Data Breaches|Inc.com

Joseph Steinberg(訳:和田美樹)
Photo by Shutterstock

記事提供社からのご案内(外部サイト)

ライフハッカー[日本版]

株式会社メディアジーン

毎日更新中

ガジェットなどを駆使し、スマートに楽しむ仕事術「Lifehack」。「ライフハッカー[日本版]」では、その言葉を広義に捉え、生活全般に役立つライフハック情報を日々お届けします。

ライフハッカー[日本版]の前後の記事