サイバー攻撃におけるリスクの把握状況
まずは、脅威・脆弱性についてどれだけ自組織で把握できているかを検証してみる。PwCのグローバル情報セキュリティ調査2016によると、脅威・脆弱性についてアセスメントを実施している組織は例年ほぼ半数に及んでいる。
多くの組織は、脆弱性をリスクと捉え、自組織において脆弱性の有無を検証し、脆弱性への対応を講じているようだ。
(注)2015年は「リスクアセスメント」から「脆弱性アセスメント」と「脅威アセスメント」へ変更
しかし、一方で注目すべき点としては、2013年に70%を超えピークに達したリスクアセスメントの実施率だが、その後は以前の数値と同等のレベルで推移していることである。これは、一度アセスメントを実施すれば、その後は不要と考えている組織が相当数存在していることを表しているともいえる。
一方で、新しい脆弱性は常に発見されており、組織はその対策を実施しリスクを回避する必要がある。情報処理推進機構によると、四半期ごとのソフトウェアとウェブサイトに関する脆弱性の届け出件数累計(2004年7月8日からの累計)は、2012年Q4に8168件から2015年Q3には1万1272件となっており、過去3年間で新しい脆弱性が3104件届けられていることになる。つまり毎年1000件の脆弱性が発生しているのである。
出典: IPA「ソフトウェアなどの脆弱性関連情報に関する届出状況 2015年第2四半期(4月~6月)
当然のことながら、攻撃者はこれらの脆弱性を見逃すはずがなく、脆弱性が発見されてから(あるいは発見される前から)対策が施されるまで、脆弱性を突いた攻撃を仕掛けてくる。
常に新しい脆弱性に対して、自組織に影響がないかを検証し対策を実施するルーチンを確立しておかないと、攻撃対象となるリスクを抱えることになる。