NRIセキュアテクノロジーズ株式会社(本社:東京都千代田区、代表取締役社長:小田島 潤、以下「NRIセキュア」)は、最新の情報セキュリティに関する脅威の動向と推奨する対策を、「サイバーセキュリティ傾向分析レポート2015(以下「本レポート」)」としてまとめました。本レポートは、企業や公的機関の情報セキュリティ対策の推進を支援する目的で、NRIセキュアが顧客企業に提供した各種の情報セキュリティ対策サービスを通じて得られたデータ*1 の分析を基に、2005年度以降毎年発表しており、今回で11回目となります。
今回の分析で明らかになった、情報セキュリティ関連の問題点は以下の3つです。
1. 企業あてに送られた標的型メールを開いてしまう割合は、従業員よりも役員の方が1.5倍多い
2. サイバー攻撃は、ソフトウエアの脆弱性情報の公開当日から開始される
3. 企業が一元的に存在を把握している自社提供のWebサイトは、半数にとどまる
それぞれの問題点について、詳細は以下の通りです。
1. 企業あてに送られた標的型メールを開いてしまう割合は、従業員よりも役員の方が1.5倍多い
NRIセキュアが2014年度に実施した「標的型メール攻撃シミュレーション(標的型メールへの対応訓練)」サービスの結果を分析したところ、従業員は5人に1人、役員は3人に1人が標的型メールを開いてしまうことがわかりました。従業員に比べ、役員の方が危険なメールを開封する割合が1.5倍も多いことが分かります。
標的型メール訓練の回数を重ねていくごとに、危険なメールを開く割合は減ります。役員は、標的型攻撃の対象になりやすい存在であるため、従業員以上に訓練によって標的型メールの危険性を認知しておくことが大事です。組織を守るためには、企業の重要情報に関わる役職員全員について、訓練を通じてセキュリティ意識を高め、基本動作を徹底することが重要です。
2. サイバー攻撃は、ソフトウエアの脆弱性情報の公開当日から開始される
2014年度は、広く使われているソフトウエアについて、脆弱性が数多く報告されました。NRIセキュアが提供するマネージドセキュリティサービスでは、例えばUNIXベースのOSで広く利用されているシェル*2「Bash*3」に関して見つかった脆弱性「Shellshock*4」への攻撃があったことを、その脆弱性が報告された当日に検知しました。
これは、脆弱性を狙う攻撃が、発覚後ただちに発生したことを意味し、インターネットを介するシステムに対する脅威が常に存在し、しかも対策が待ったなしであることを示唆しています。情報セキュリティ対策として、迅速なパッチマネジメント*5 やWAF*6 などを活用した多層防御によって企業を守る対策をとっておくことが重要です。
3. 企業が一元的に存在を把握している自社提供のWebサイトは、半数にとどまる
企業が自社で管理すべきWebサイトについて、「Webサイト群探索棚卸しサービスGR360」サービスで棚卸しを実施したところ、一元的に存在を把握できていたWebサイトは半数にとどまることがわかりました。前年度もほぼ同じ割合であり、未だに適切に管理されていないWebサイトが多く存在している可能性があります。先ず自社としてセキュリティ対策に責任を持つべきWebサイトの存在を確認し、対策状況を把握しておくことが重要です。
「サイバーセキュリティ 傾向分析レポート2015」の詳細については、下記のWebサイトを参照ください。
(リンク »)
*1 本レポートで分析対象としたデータ:NRIセキュアが、2014年度(2014年4月1日~2015年3月31日)に、顧客企業に提供した情報セキュリティ関連サービスから得られたデータ。これまでこのデータを使用し、「企業情報システムのセキュリティに関する分析結果」として発表した。分析対象としたサービスは、マネージドセキュリティサービス(FNCセキュアインターネット接続サービス、FNCセキュアWebネット管理サービス)、セキュリティ診断サービス(プラットフォーム診断、プラットフォーム診断エクスプレス、Webアプリケーション診断、PCI DSS認定スキャンサービス、Webサイト群探索棚卸(GR360)、標的型メール攻撃シミュレーション)、ソリューションサービス(クリプト便)
*2 シェル:コンピュータのOSを構成するソフトウエアのひとつ。ユーザからの操作を受け付け、結果を表示するなどの機能を有する
*3 Bash:多くのUNIXベースのOSで広く利用されているシェル。オープンソースソフトウエアとして公開
*4 Shellshock:Bashにおけるコード実行の脆弱性を悪用する攻撃
*5 パッチマネジメント:システム管理者などが設定したポリシーに応じて、脆弱性があるプログラムに対し修正ファイル(パッチ)適用を自動的に行うこと
*6 WAF:Web Application Firewall、Webアプリケーションへの攻撃を防ぐシステム
今回の分析で明らかになった、情報セキュリティ関連の問題点は以下の3つです。
1. 企業あてに送られた標的型メールを開いてしまう割合は、従業員よりも役員の方が1.5倍多い
2. サイバー攻撃は、ソフトウエアの脆弱性情報の公開当日から開始される
3. 企業が一元的に存在を把握している自社提供のWebサイトは、半数にとどまる
それぞれの問題点について、詳細は以下の通りです。
1. 企業あてに送られた標的型メールを開いてしまう割合は、従業員よりも役員の方が1.5倍多い
NRIセキュアが2014年度に実施した「標的型メール攻撃シミュレーション(標的型メールへの対応訓練)」サービスの結果を分析したところ、従業員は5人に1人、役員は3人に1人が標的型メールを開いてしまうことがわかりました。従業員に比べ、役員の方が危険なメールを開封する割合が1.5倍も多いことが分かります。
標的型メール訓練の回数を重ねていくごとに、危険なメールを開く割合は減ります。役員は、標的型攻撃の対象になりやすい存在であるため、従業員以上に訓練によって標的型メールの危険性を認知しておくことが大事です。組織を守るためには、企業の重要情報に関わる役職員全員について、訓練を通じてセキュリティ意識を高め、基本動作を徹底することが重要です。
2. サイバー攻撃は、ソフトウエアの脆弱性情報の公開当日から開始される
2014年度は、広く使われているソフトウエアについて、脆弱性が数多く報告されました。NRIセキュアが提供するマネージドセキュリティサービスでは、例えばUNIXベースのOSで広く利用されているシェル*2「Bash*3」に関して見つかった脆弱性「Shellshock*4」への攻撃があったことを、その脆弱性が報告された当日に検知しました。
これは、脆弱性を狙う攻撃が、発覚後ただちに発生したことを意味し、インターネットを介するシステムに対する脅威が常に存在し、しかも対策が待ったなしであることを示唆しています。情報セキュリティ対策として、迅速なパッチマネジメント*5 やWAF*6 などを活用した多層防御によって企業を守る対策をとっておくことが重要です。
3. 企業が一元的に存在を把握している自社提供のWebサイトは、半数にとどまる
企業が自社で管理すべきWebサイトについて、「Webサイト群探索棚卸しサービスGR360」サービスで棚卸しを実施したところ、一元的に存在を把握できていたWebサイトは半数にとどまることがわかりました。前年度もほぼ同じ割合であり、未だに適切に管理されていないWebサイトが多く存在している可能性があります。先ず自社としてセキュリティ対策に責任を持つべきWebサイトの存在を確認し、対策状況を把握しておくことが重要です。
「サイバーセキュリティ 傾向分析レポート2015」の詳細については、下記のWebサイトを参照ください。
(リンク »)
*1 本レポートで分析対象としたデータ:NRIセキュアが、2014年度(2014年4月1日~2015年3月31日)に、顧客企業に提供した情報セキュリティ関連サービスから得られたデータ。これまでこのデータを使用し、「企業情報システムのセキュリティに関する分析結果」として発表した。分析対象としたサービスは、マネージドセキュリティサービス(FNCセキュアインターネット接続サービス、FNCセキュアWebネット管理サービス)、セキュリティ診断サービス(プラットフォーム診断、プラットフォーム診断エクスプレス、Webアプリケーション診断、PCI DSS認定スキャンサービス、Webサイト群探索棚卸(GR360)、標的型メール攻撃シミュレーション)、ソリューションサービス(クリプト便)
*2 シェル:コンピュータのOSを構成するソフトウエアのひとつ。ユーザからの操作を受け付け、結果を表示するなどの機能を有する
*3 Bash:多くのUNIXベースのOSで広く利用されているシェル。オープンソースソフトウエアとして公開
*4 Shellshock:Bashにおけるコード実行の脆弱性を悪用する攻撃
*5 パッチマネジメント:システム管理者などが設定したポリシーに応じて、脆弱性があるプログラムに対し修正ファイル(パッチ)適用を自動的に行うこと
*6 WAF:Web Application Firewall、Webアプリケーションへの攻撃を防ぐシステム
本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。
お問い合わせにつきましては発表元企業までお願いいたします。
