米Cisco Systemsは2月19日、サイバー攻撃の脅威と動向についてまとめた年次セキュリティレポート「Cisco 2016 Annual Security Report」を発表した。攻撃者がますます巧妙かつ大胆で執拗な攻撃を始めているために、世界各国で自社のセキュリティ対策に自信を持っている企業や組織は、全体の45%にとどまっていることが分かった。
企業は自社のセキュリティ対策に自信が持てなくなっている一方で、経営陣の92%が規制当局や投資家から、サイバー攻撃にさらされるリスクへの対応が求められると考えているという。経営陣は、特に業務のデジタル化を進める上で、将来的な組織のセキュリティを確保するために、一層の対策を講じようとしている。
レポートでは、攻撃側の急速な進化により企業が直面するさまざまな課題を取り上げている。ハッカーは次第に正規のリソースに侵入し、効果的な攻撃を仕掛けて利益を得るようになっている。身代金要求ウイルスであるランサムウェアによる直接的な攻撃だけでも、サイバー犯罪者は年間3400万ドルを手にしているとのこと。こうした犯罪者は依然として、規制当局の制約を受けることなく活動を続けている。
企業はセキュリティ上のさまざまな課題を抱えており、それが職業化するサイバー攻撃の検知や緩和、修復の妨げになっている。
旧式のインフラ、時代にそぐわなくなった組織構造、商慣習によっても組織は危険にさらされている。2014年から2015年の間に、最新のセキュリティインフラを備えていると回答した企業の数が10%低下した。今回では、稼働中のインターネット機器の92%に脆弱性が確認されているほか、全体の31%はベンダーがすでに保守サポートを終了しているデバイスであることが判明した。
中小規模組織が攻撃者に付け込まれる可能性が高いことも分かった。企業はサプライチェーンや中小のビジネスパートナーとの連携を強めようとしており、こうした組織において攻撃に対する防御ツールやプロセスを導入しているケースが少ない。
例えば2014年から2015年の1年間で、ウェブセキュリティを使用した中堅、中小企業の数は10%以上低下。企業の構造的な脆弱性が潜在的なリスクとなる。
今回の調査から、産業化した攻撃者に対抗するため、企業間の連携をさらに強め、プロセスや技術、人材への投資を一層強化していく必要が世界的に求められていることが読み取れるとしている。
そのほか、セキュリティ対策にかかわるトピックは次の通り。
・アウトソーシングの増加
セキュリティ分野における人材不足への対応の一環として、企業は自社のセキュリティ対策を適正に保つためにアウトソーシングサービスを採用し始めている。こうしたサービスにはコンサルティングやセキュリティ監査、インシデント対応などが含まれる。効果的なセキュリティ体策を講じるためのリソースが不足しがちな中堅・中小企業はアウトソーシングを活用することによってある程度、セキュリティへの取り組みを改善しており、これらの企業のうちアウトソーシングを活用している企業は全体の23%と前年から14%増加している。
・サーバアクティビティのシフト
サイバー犯罪者は悪質な意図をもってソーシャルメディアプラットフォームを活用するようになっており、WordPressなどが稼働するサーバに侵入して攻撃をサポートするようになっている。例えば犯罪者に使用されたWordPressドメインの数は2015年2月から10月までの間で221%増加した。
・ブラウザベースの情報漏えい
セキュリティ担当者から低レベルの脅威と見なされることの多い悪質なブラウザ拡張が重大な情報漏えいの潜在的な原因を生んでおり、85%以上の組織が影響を受けている。定期的なソフトウェアの更新を怠っていることで、Adwareや悪意のある広告だけでなく、一般的なウェブサイトや死亡記事までもが不正侵入の入口として悪用されている。
・DNSの盲点
悪質なマルウェアとして識別されたマルウェアのほぼ92%が、DNSの機能を主に使用していたことが明らかになっている。セキュリティ担当者とDNSの専門家は通常、社内で異なるITグループに所属しており、相互の連携が頻繁に行われないことから、こうしたセキュリティの盲点がしばしば生じる結果になっている。
・検出時間の短縮
セキュリティ業界ではサイバー犯罪の検出時間を100~200日と見積っており、この時間は十分とは言えなくなっている。Ciscoは昨年の年次レポートの発表以降、この時間を46時間から17.5時間にまで短縮し、検出時間を短縮することによってサイバー攻撃の被害を最小限に抑え、世界各国の企業やインフラに与えるリスクや影響を低減したとしている。
・信頼の重要性
ますます多くの組織が業務のデジタル化戦略を推進するようになり、大量のデータやデバイス、センサ、サービスまで、包括的な透明性や信頼性、アカウンタビリティに対する新たなニーズが生まれている。
Ciscoのシニアバイスプレジデント兼最高セキュリティトラスト責任者、John N. Stewart氏は「セキュリティは攻撃から修復することをもって設計され、プライバシー保護を念頭に、信頼できる透明性が示されていなければなりません。あらゆるビジネスにIoTやデジタル化が定着するようになった現在、ITの構築、購入、運用はこれらの要素を踏まえなければなりません」と述べている。