サイバー攻撃の被害の確率は3分の2!?

 セキュリティソフトのベンダー会社である『SOPHOS(ソフォス)』は、エンドポイントセキュリティの現状を把握するため、世界各国の企業におけるIT管理者3100人を対象とした調査を独立調査会社の『Vanson Bourne』に委託しました。

 調査結果から、改めて現在のセキュリティシステムの課題が見えてきました。

参照元:国立研究開発法人 情報通信研究機構「〜NICTER観測レポート2018〜」より

サイバー攻撃の被害に合うのはもはや当たり前なのか?

 今回の調査結果は「7つの気になる真実〜3100人の IT 管理者を対象とした、ソフォス 委託の独立系調査会社による調査結果〜」に詳しくまとめられています。

 これによると、調査対象のうち3分の2以上 (68%) の企業が、昨年1回以上サイバー攻撃を受けたとのことです。

2回以上攻撃されたことのある企業が多い!?

 調査結果によると、サイバー攻撃の被害を1回でも受けたことのある企業は、平均で2回攻撃を受けていることがわかりました。

 しかも調査対象の企業のうち約10%が去年だけでも4回以上サイバー攻撃を受けたと回答しました。

 攻撃を受けた後のセキュリティ対策の見直しが適切に行われていなかったか、あるいは弱点だらけのシステムを使用し続けていたことが原因だと思われます。

サイバー攻撃の多くはエンドポイントから検出される?

 サイバー攻撃は、しばしばエンドポイントから検出されることが多いといわれています。

 しかし実際に調査結果からは、サーバ(36.7%)ネットワーク(36.6%)エンドポイント(16.9%)モバイルデバイス(9.6%)の割合で攻撃が検出されたことがわかっており、エンドポイントはそれほど高くはありません。

 これは、エンドポイントばかりにセキュリティを集約させてしまったことにも起因しています。

モバイルデバイスから検出される攻撃の増加

 調査によると、攻撃のうち約10件に1件は、モバイルデバイスから検出されることがわかりました。

 サイバー攻撃といえばパソコンが主に受けるものだと思われがちですが、モバイルデバイスにも徹底的にセキュリティを維持する必要があるのです。

 モバイルデバイスの脅威は、調査対象国の中でもインドが最も高かったことがわかりました。

 というのも、サイバー犯罪者がマルウェアの攻撃対象として最も多く利用する「Android」がインドにおいて最も普及していることと、評価の低いアプリをダウンロードしてしまう傾向にあることが考えられます。

 そして、インドは業務の遂行におけるモバイルデバイスの普及率が世界のなかで非常に高いのです。

 このモバイルデバイスへの依存率の高さも、サイバー攻撃を受けやすい要因になっているのです。

エンドポイントだけではなくサーバも対策を

 ユーザがログインしないサーバは安全だと思っていませんか?

 攻撃はしばしばエンドポイントから始まります。

 それゆえに多くの企業はエンドポイントのセキュリティをしっかり強化します。

 しかし攻撃者は逆に手薄になっている状態のサーバから侵入し、より有力な情報が詰まったサーバへと攻撃を拡大させるのです。

 また、IT管理者がサーバの把握およびサーバの攻撃リスクをきちんと把握していないことも攻撃者にとって非常に都合がよく、しばしばサーバから攻撃が検出されます。

調査結果からわかる知っておくべき真実

 今回の調査結果には「7つの真実」とあります。

 1つ目は前章でもお伝えした世界各国の調査対象企業のうち約3分の2がサイバー攻撃の被害にあったことがあるということです。

 他の6つの真実も、サイバー攻撃の被害に合わないためのヒントになり得るので、ぜひ知っておくべきです。

攻撃者が滞在していたことに気づかない

 調査対象の企業に、サイバー攻撃者およびウイルスが滞在していた時間について質問したところ、回答の平均は13時間でした。

 13時間はいささか長いように思えませんか?

 これだけの時間があれば攻撃者がアクセスし情報を盗み出すには十分です。

 ちなみに日本の企業は、国別の中で最も長く、平均17時間かかっていたことがわかりました。

攻撃対象になり得るシステムを把握していない

 攻撃対象になり得るシステムを把握しておくことは、セキュリティ対策において最も効果的なことであり、攻撃後の対策もスムーズに行いやすくなります。

 しかし、今回の調査から約5人に1人のIT管理者が、企業への攻撃侵入経路を把握していないことがわかりました。

セキュリティ調査にかける余分な日数は年間約41日

 調査対象の企業は、平均で1年に48日間インシデントの調査を行なっていると回答しました。

 しかし実際にセキュリティに問題があると判明したのは、このうちの約15%だそうです。

 このことから企業は作業時間の約85%を余分なインシデントの調査に費やしていることになります。

 もちろん念のために調査を重ねることは重要ですが、ある程度セキュリティリスクがある部分を把握し調査対象を絞らなければ、金銭的にも生産性にも大きく効率が悪くなってしまいます。

約80%の企業はセキュリティの専門知識不足を痛感している

 ゼロデイ攻撃や新種のウイルスの増加等、サイバー攻撃のリスクについていくことが難しい中、サイバーセキュリティの人材不足は相変わらず進展がないままです。

 調査対象のIT管理者の80% が、サイバー攻撃を的確に検出し、リスクを調査そして対応できるチームを望んでいます。

 しかしながら実際には人手不足により未経験者が手探りで行なっている状況です。

 さらに、1回でもサイバー攻撃を受けた企業は、強力な人材を望む割合が85%と高かったのに対し、一度も攻撃を受けたことがないまたは受けたと思われるが認識していない企業のうち、強力な人材を望む割合は71%と異なる結果が出ました。

 しかし昨今ではそれら人材不足を解消するために、人工知能などの技術を利用したシステムに着手し始めているようです。

参照元:総務省「〜サイバーセキュリティ政策の最新動向〜」より

半数を超える企業がEDRを最大限に活用できない

 まずEDRとは、エンドポイントセキュリティの一つです。

 エンドポイントの検出と対応という意味の略称であり、エンドポイントおよびサーバーにおいて悪意のある活動や、異常な挙動を監視および検出するプラットフォームです。

 EDRはもはや企業にとって必須であり、調査対象のIT管理者の約9割以上はEDRを導入している、または導入を検討していると回答しました。

 しかし残念ながらこれはあくまで世界全体を表した数であり、日本の導入率はたったの34%と世界で最も低い値を示しました。

 多くの企業がこのEDRを挿入しただけでうまく活用できていないことがわかります。

 というのも、導入済みである企業のうち約54%の企業がEDRをうまく活用できていないと思われるとの結果が出たのです。

 これはEDR管理者の不足および自社のシステムとの不一致や使いづらさが理由として挙げられます。

1度被害を受けた企業は2回目からは慎重に

 調査結果においてサイバー攻撃の被害に一度でも被った企業と、そうでない企業の回答に大きな違いがあることがわかりました。

 というのも、去年サイバー攻撃の被害を受けた企業のセキュリティ対策に、次のような特徴がありました。

 それはより慎重にインシデント調査を行うようになったということです。
 
 また、セキュリティ対策に多くの時間と費用の投資をしていました。

まとめ

 世界各国を対象とした非常に大きな調査でした。

 これはセキュリティソフトのベンダー会社『SOPHOS(ソフォス)』が、エンドポイントセキュリティの現状を把握するために調査会社である『Vanson Bourne』へ調査を委託し、その調査結果を「7つの気になる真実〜3100人のIT管理者を対象とした、ソフォス委託の独立系調査会社による調査結果〜」にまとめました。

 7つの真実とは以下の通りです。
・サイバー攻撃の被害の確率は3分の2
・攻撃者が滞在していたことに気づかない
・攻撃対象になり得るシステムを把握していない
・セキュリティ調査にかける余分な日数は年間約41日
・約80%の企業はセキュリティの専門知識不足を痛感している
・半数を超える企業がEDRを最大限に活用できない
・1度被害を受けた企業は2回目からは慎重に

 この調査結果から、全体的に日本は他国に比べてセキュリティの認知や取り組みが非常に遅れていることが伺えました。

 このような不名誉な数字にならないようできることからしっかり始めていきましょう。

 我々は、情報が漏洩した事後の対策としてサイバー保険をご紹介しています。是非、事前の対策だけではなく事後の対策も行いましょう。どの企業にも起こりうることです。

サイバー攻撃に対する必要な備えは大きく2つ
1.サイバー攻撃を受けないための対策
2.サイバー攻撃を受けた後の対策

詳しくはこちらのサイバー保険の専用ページをご覧ください。
月額5,000円から利用できるサイバー保険付帯サービス
サイバー保険をご検討中の方へ
「安心」で「快適」な「未来」をお客様とともに創造します!
・サイバー保険が気になっている
・保険料はどのくらいなのか
・サイバー保険でどこまで補償できるのか

上記に関することでご相談・ご質問等ございましたら、お気軽に弊社までお問い合わせください。