Tenable Network Security Japanが発表した「業務遂行上のサイバーリスク計測と管理に関する報告書」によると、過去24カ月間で1回以上のサイバー被害に遭っている組織の割合は全世界で91%に上った。しかし、適切な業務コストの見積もりができておらず、判断基準が不足していることが分かった。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
Tenable Network Security Japanは2019年4月10日、「業務遂行上のサイバーリスク計測と管理に関する報告書」を国内で発表した。
日本を含む6カ国のITセキュリティ担当者を対象とした報告書によると、過去24カ月間で、1回以上のサイバー被害に遭った組織の割合は91%、サイバー被害による業務混乱を2回以上経験した割合は60%に上った。
Tenableではサイバー被害を、情報流出や深刻な業務、工場、機器稼働の混乱や中断と定義している。こうしたサイバー被害のうち、過去24カ月間に発生した攻撃で最も多かったのは「マルウェアによって引き起こされた事業運営の大幅な中断」(48%の組織が経験:複数回答)だった。これに「サードパーティーによる機密情報の誤用もしくは他のサードパーティーとの共有」(同41%)や「大幅なダウンタイムを引き起こすサイバー攻撃」(同35%)が続いた。
これに対して2019年に最も不安だと思う最大の脅威は過去24カ月とは順位が異なっていた。「サードパーティーによる機密情報の誤用もしくは他のサードパーティーとの共有」(同64%)が23ポイント増えて首位。これに「IoT(Internet of Things)もしくはOT(Operational Technology)資産への攻撃」(同56%、33%ポイント増)や「マルウェアによって引き起こされた事業運営の大幅な中断」(同54%)が続いた。
多くの組織でサイバー被害を受けているにもかかわらず、54%の組織がサイバーリスクの業務コストを把握できていないという。その原因は、自社のITセキュリティ部門に、自社システムの脆弱(ぜいじゃく)性を調査する人材が不足していることのようだ。
今回の調査によると、1組織当たり平均19人が脆弱性管理に参加していることが分かった。ところが、「セキュリティ部門には迅速に脆弱性をスキャンする人材が十分にいない」と答えた回答者の割合は58%に上った。実際、31%の組織では脆弱性スキャンのスケジュールを決めておらず、28%がそもそもスキャンしないと答えている。
サイバー攻撃への対策として有効だと考えていることでは、セキュリティエクスプロイトの修復や、脆弱性を迅速に評価する能力が挙がった。具体的には、セキュリティエクスプロイトやデータブリーチの素早い修復と、全ての重要なIT、OT、IoT資産の脆弱性評価を挙げた回答者は、それぞれ51%(複数回答)だった。
今後、こうしたシステムの脆弱性管理には、機械学習などのAI(人工知能)が利用される割合が増えそうだ。AIを脆弱性管理に利用している割合は14%、1年以内に利用する予定は29%、2年以内に利用する予定は19%で、利用する予定はないと回答した割合は39%だった。
Tenableでは、今回の調査結果を受け、サイバーリスクを最小化する組織能力向上のための推奨事項を5項目挙げた。
今回の調査は、米Tenable Network SecurityがPonemon Institute(ポネモン研究所)と共同で2018年11月1~9日に実施したもの。米国、英国、ドイツ、オーストラリア、メキシコ、日本のITセキュリティ担当者を対象とした。全ての調査対象者は組織内のサイバーセキュリティソリューションの評価や投資管理に関わっている。6万4871人を対象として有効回答数2410人を得た。日本の組織の有効回答数は418人。6カ国を通してエンジニア/技術者の比率は31%。業種のうち10%を超えていたのは、金融サービス、サービス、工業と製造業、公共事業の4つだった。
Copyright © ITmedia, Inc. All Rights Reserved.
Security & Trust 鬮ォ�ェ陋滂ソス�ス�コ闕オ譁溷クキ�ケ譎「�ス�ウ驛「�ァ�ス�ュ驛「譎「�ス�ウ驛「�ァ�ス�ー