読んでおきたいセキュリティリポート・調査結果まとめ:特集:セキュリティリポート裏話(1)(1/4 ページ)
自社に今、そしてこれから必要なセキュリティ対策を検討する前に確認したいのが、「敵」の手口です。セキュリティ関連組織やベンダーでは、そうした時に役立つさまざまな観測結果やリポート、調査結果を公開しています。ぜひ一次ソースに当たってみてください。
標的型攻撃をはじめとする不正アクセスやサイバー犯罪、Webサイトの侵害とそれを踏み台にしたマルウエア感染など、日々さまざまな脅威が報じられ、セキュリティ対策の必要性が叫ばれています。さて、セキュリティ対策に取り組む上で大事なのは「敵を知り、己を知る」こと。何がどんなふうに危険にさらされているのかを知らなくては、対策の方針を立てることはできません。しかも攻撃の動向は継続的に変わっており、いつまでも昔の常識で考えていては裏をかかれる、ということを忘れてはいけません。
そんなときに参考になるのが、セキュリティ関連の組織やITベンダーが提供しているさまざまなリポートや調査結果です。中には定点観測網を基に毎月、あるいは四半期ごとに定期的にまとめられているものもあり、おおまかな傾向をつかむことができる他、今注目すべき手口は何かなど、参考になる情報を得ることができます。最近の例で言えば、国内でも多数の被害が報じられた標的型攻撃について深く掘り下げたガイドが公開されており、どんなステップで侵入が行われるのかを知り、欠けている対策を補う際に役立ちます。
これらリポートや調査結果のもう一つの使い方は、サイバー攻撃・犯罪によってどれほどの被害が生じる恐れがあるかを把握することです。対策を実施するとなれば、上司や経営層に必要性を訴え、しかるべき予算を確保する必要があります。このときに「このままリスクを放置するとどのくらいの被害が生じるのか」「そのリスクに対してどの程度投資を行うべきか」の目安として、調査結果で得られた被害額を使うこともできるでしょう。
最近では、こうしたリポートを元にしたサイバー攻撃関連の報道がマスメディアでも珍しくなくなりましたが、一つ、注意していただきたいことがあります。見出しにしやすい「数字」や「犯人像」だけが一人歩きしてしまうケースがあるのです。「○億件」といった大きな数値であればあるほどインパクトは大きく見えますが、その攻撃は本当に脅威なのでしょうか。数字は少なくても、本当に憂慮すべき動きが他にあるかもしれません。また、サイバー犯罪の犯人像もあれこれ取りざたされますが、検挙に至るケースを除けば、断定できるケースは多くありません。
表に出ている報道だけではなく、ぜひ一次資料に直接当たって、動向を確認していただきたいと思います(なお、これら調査結果も、インターネット全体の動向を全て網羅しているわけではなく、暗闇にサーチライトを当てて一部を把握しているに過ぎない、ということも頭の片隅に置いておいてください)。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- セキュリティベンダー2社のリポートに見る「攻撃の高度化」のいま
トレンドマイクロ、シマンテックが定期的に発表している分析リポートの最新版が公開された。今回この2社のリポートを基に、攻撃の高度化がどのように進化しているのか、そして企業をどのように守るべきかをまとめた。 - 2015年、最大のインパクトを与えた「年金個人情報流出」から得られた教訓とは
インテル セキュリティ(日本での事業会社はマカフィー)は2015年11月13日、第2回「2015年のセキュリティ事件に関する意識調査」の結果を発表するとともに、2016年ならびに今後の5年間増加するであろうサイバー脅威の予測も発表した。 - 日本企業は「ISMS」に偏り過ぎ?――PwCが「グローバル情報セキュリティ調査 2016」を発表
プライスウォーターハウスクーパース(PwC)は2015年11月9日、米国のIT調査会社IDGと共同で実施した「グローバル情報セキュリティ調査 2016(日本版)」の調査結果を発表した。 - ハードルがますます下がるDDoS攻撃、経路途中での防御を追求するアカマイ
アカマイ・テクノロジーズは2015年10月19日「DDoS攻撃の実態と対策」と題する記者向け説明会を開催し、昨今のDDoS攻撃の動向を説明。根本的に対応が難しいDDoS攻撃への取り組みを説明した。 - カスペルスキー、企業のDDoS攻撃に対する認識と被害実態に関する調査結果を発表
ロシアのカスペルスキーは2015年9月17日、企業の経営者、IT担当者を対象に実施したDDoS攻撃に対する認識と被害実態についての調査結果を発表した。