こんにちは。GWは旅行と読書と掃除に勤しんだはなくとです。
今回は、4月17日にセキュリティベンダーの1つであるSophosが「エンドポイントセキュリティの7つの不都合な真実」と題するレポートを発表したので紹介したいと思います。
本レポートは、米国、カナダ、メキシコ、コロンビア、ブラジル、英国、フランス、ドイツ、オーストラリア、日本、インド、南アフリカの12カ国のIT管理者3100人を対象とし、Vanson Bourneという調査会社に委託して作成されたようです。
原文が見たい方はこちらからダウンロードしてください(Sophosのサイトに飛びます)。
本レポートのポイントは下記7つです。
- サイバー攻撃の被害を受けるのは珍しいことではなくなった
IT管理者は、攻撃者の滞在時間を把握していない
IT管理者は脅威の侵入口を把握していないため、それを塞ぐことができない
企業はセキュリティ上問題ではないインシデントの調査に年間41日を費やしている
5社中4社はセキュリティの専門知識の不足により、脅威の検出と対応に苦心している
半数を超える企業がEDR製品を最大限に活用できていない
1度被害を受けた企業は、2度目からより慎重にインシデントを調査する
1.サイバー攻撃の被害を受けるのは珍しいことではなくなった
大規模企業の 73% および小規模企業の 63% が攻撃を受けた。
この事実から、大企業はサイバー攻撃の対象にされやすいことが分かります。別の見方をすれば、大企業は比較的予算が潤沢であり、セキュリティ対策の導入、十分な人材が揃っているため、サイバー攻撃を検出できる環境が整っている、と言えるかもしれません。
小規模企業では、サイバー攻撃を受けていてもそもそも検出出来る状況にない可能性があり、大企業の方が攻撃を受けやすいとは一様には言えないかもしれません。
ちなみに日本は攻撃を受けた割合が24%と最も低いです。受けてないのか検出できていないのかどっちなんでしょうね。。
サイバー脅威は、1度攻撃した企業を再攻撃する
目をつけたら、あの手この手で侵入しようとするのでしょう。または攻撃が成功したら段階を追って深部まで侵入していくのでしょう。サイバーキルチェーンが参考になりそうです。サイバー攻撃に限らず世の中の犯罪でもよくあることですね。
たいていの攻撃は、サーバーまたはネットワークで検出される
これは、エンドポイントよりもサーバに重要な資産があるため、セキュリティ対策もサーバ偏重になっていると推測しています。本来は攻撃の入口に成り得るエンドポイント側でも十分なセキュリティ対策をすべきだと思いますが、限られた予算でできることをやっているという印象です。
ほぼ 10件に 1件の脅威は、モバイルデバイスで検出される
インドでは、脅威がモバイルデバイスで検出される割合は 2倍高い
時代の流れでしょう。モバイルデバイスを業務に使ってネットワークに繋ぐ以上、脅威にさらされるのは間違いなし。インドが2倍高いのは、モバイルが普及しているのにアプリを使う側/作る側双方のセキュリティ意識が低いと推測しています。バングラデシュも同じだったので安易に想像がつきます。
2.IT 管理者は、攻撃者の滞在時間を把握していない
滞在時間を把握していた企業の回答の平均は 13時間
脅威が発見されるまでの時間は平均 10時間。最も遅い日本は平均 17時間
我らが日本が最も遅いとは。。とそんなに悲観してはいません(できません)。
何故ならば、どのような攻撃が行われたか、セキュリティ対策はどこまでしていたのか?を各企業横並びで見ないと何とも言いづらいからです。
ただ、「発見が一番遅かった」というのは気に留めた方がいいと思います。ひょっとしたら他国に比べてセキュリティ対策への投資が出来ていない可能性もあるので。
3.IT 管理者は脅威の侵入口を把握していないため、それを塞ぐことができない
侵入口を把握していない企業の割合20% これも繰り返しになりますが、侵入口を特定できるような仕組み(機器のログやセキュリティ対策製品のアラート)があるかどうか、特定できる人材がいるかどうかでしょう。
4.企業はセキュリティ問題でないことが判明するインシデントの調査に年間 41日を費やしている
年間41日ということは、3.4日/月 ≒ 2.7時間/日(1か月を30日換算)になるわけですが特に驚きはありません。
はっきり黒だと分かるインシデントなら大して調査も不要なのですが、グレーなものを黒だと判定するには、それなりの調査が必要です。
勿論、調査期間が短ければ短いほどいいに越したことはありません。レポートでは調査期間が長引くと下記のコストが発生すると紹介しています。
■直接のコスト:
セキュリティ問題でないことが判明するインシデントの調査に膨大な時間を費やすことによる、金銭的および人材への影響■機会コスト:
セキュリティ問題でないことが判明するインシデントを調査しているために対処できない他の IT タスク
5.5社中 4社の企業はセキュリティの専門知識不足で、脅威の検出と対応に苦心している
よく聞く話です。
6.半数を超える企業が、EDR ソリューションを最大限に活用できない
EDRは比較的新しい製品なのでまだ活用しきれていないんでしょう。
が、EDRの導入を予定している日本企業は34%で断トツ最下位(下から2位の英国でも82%)なのは気になります。優先順位が低いのか、予算が足りないのか、技術者がいないのか。大手に右へならえ待ちなのか。
7.1度被害を受けた企業は 2度目からより慎重にインシデントを調査
これもそうでしょう、って感じです。一度やられたら慎重になるでしょうし、何より予算がついてセキュリティ対策が強化されます。以前より調査できる範囲が拡大した結果ではないでしょうか。
感想
内容うんぬんよりもEDRの導入を促しているレポートのように見えてしまいました。目新しいことは書いてませんが、EDR導入を検討資料の情報源として使えばいいのかなって感じです。
また、EDR自体はSophosだけでなく他のセキュリティベンダーでも販売されているので、十分比較してください。
おしまい。