読んでおきたいセキュリティリポート・調査結果まとめ:特集:セキュリティリポート裏話(1)(4/4 ページ)
自社に今、そしてこれから必要なセキュリティ対策を検討する前に確認したいのが、「敵」の手口です。セキュリティ関連組織やベンダーでは、そうした時に役立つさまざまな観測結果やリポート、調査結果を公開しています。ぜひ一次ソースに当たってみてください。
ビジュアルにサイバー攻撃の状況を把握できるサイト
読み込みが必要なこうしたリポートとは別に、サイバー攻撃の状況をリアルタイムに可視化するサイトも公開されています。もちろん、見た目の派手さと実際の攻撃の深刻さは別物ですが、例えば経営層にサイバー攻撃のリスクを認識してもらう際のツールとして、攻撃パケットが飛び交う様を見てもらうのも一つの手になるのではないでしょうか。
情報通信研究機構(NICT)では、未使用のIPアドレス空間に対する通信(ダークネットトラフィック)の一部をリアルタイムに視覚化し、「nicter Web」で公開しています。日本語のインターフェースが提供されており、サイバー攻撃やマルウェア感染の大局的な傾向をつかむことができます。
NORSE
米国のセキュリティ企業、NORSEが公開しているサイバー攻撃マップです。他にも、以下のようなマップが公開されています。
FireEye:FireEye Cyber Threat Map
http://www.fireeye.com/cyber-map/threat-map.html
Kaspersky:Cyberthreat Real-Time Map
また、DDoS攻撃に特化して攻撃状況をリアルタイムに可視化しているサイトとしては、以下のものがあります。
サイバー攻撃を受けた場合の被害額は?
さまざまな攻撃が横行していることが分かったとして、対策を打つには先立つものが必要です。では、どのくらいのお金をかければいいのでしょうか? こればかりは守るべき資産の価値によるため、企業や組織によって千差万別です。ただ、過去に起こったサイバー犯罪や情報漏えい事件でどのくらいの損害が生じたかを知るのも、一つの指針になります。
最も大きな懸念は、自社で取り扱う個人情報が漏えいしてしまった場合の影響でしょう。やや古い情報ではありますが、日本ネットワークセキュリティ協会(JNSA)では、2013年に報道された情報漏えい事件の原因や経路などを分析するとともに、独自の算定式(JOモデル)を用いて想定損害賠償額を算出しています。
またベライゾンでは継続的にデータ漏えいに関する調査を実施しており、その最新版「2015年度データ漏洩/侵害調査報告書(DBIR)」では、グローバルに発生したデータ侵害事故の規模と原因、1件当たりのコストなどを算出しており、非常に読み応えのあるリポートとなっています。
JNSA:2013年 情報セキュリティインシデントに関する調査報告書〜個人情報漏えい編〜
http://www.jnsa.org/result/incident/
ベライゾン:2015年度データ漏洩/侵害調査報告書(DBIR)
また、マルウエアによる不正送金に代表されるインターネットバンキングをめぐる被害も年々拡大しています。警察庁のまとめによれば、2015年上半期のオンライン不正送金被害は754件、約15億4400万件に上るとなっています。
さらについ最近公開されたシマンテックの調査によると、不正送金に加え、クレジットカード情報の詐取も含めた日本におけるネット犯罪の被害総額は2258億円に上り、被害者1人あたりの損失額は2万8697円に上るという結果が出ているそうです。
警察庁:平成27年上半期のインターネットバンキングに係る不正送金事犯の発生状況等について
https://www.npa.go.jp/cyber/pdf/H270903_banking.pdf
警察庁:平成27年上半期のサイバー空間をめぐる脅威の情勢について
https://www.npa.go.jp/kanbou/cybersecurity/H27_kami_jousei.pdf
金融庁:偽造キャッシュカード等による被害発生等の状況について
http://www.fsa.go.jp/news/27/ginkou/20151016-2.html
シマンテック:日本におけるネット犯罪の被害総額は、2,258億円 被害者1人あたりの損失額は2万8,697円 - ノートン調査
https://www.symantec.com/ja/jp/about/news/release/article.jsp?prid=20151125_01
12月に入ると、この一年間を振り返り、来年以降を展望するリポートも続々と登場してきます。そうしたリポートについても、今後の記事で紹介していく予定です。
特集:セキュリティリポート裏話
近年、効果的なセキュリティ対策を実施するには、脅威の最新動向を常にウオッチし、分析することが欠かせません。その成果の一部が多数のセキュリティベンダーから「リポート」や「ホワイトペーパー」といった形で公開されています。この特集では、そんな各社最新リポートのポイントを解説するとともに、行間から読み取れるさまざまな背景について紹介していきます。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
セキュリティベンダー2社のリポートに見る「攻撃の高度化」のいま
トレンドマイクロ、シマンテックが定期的に発表している分析リポートの最新版が公開された。今回この2社のリポートを基に、攻撃の高度化がどのように進化しているのか、そして企業をどのように守るべきかをまとめた。
2015年、最大のインパクトを与えた「年金個人情報流出」から得られた教訓とは
インテル セキュリティ(日本での事業会社はマカフィー)は2015年11月13日、第2回「2015年のセキュリティ事件に関する意識調査」の結果を発表するとともに、2016年ならびに今後の5年間増加するであろうサイバー脅威の予測も発表した。
日本企業は「ISMS」に偏り過ぎ?――PwCが「グローバル情報セキュリティ調査 2016」を発表
プライスウォーターハウスクーパース(PwC)は2015年11月9日、米国のIT調査会社IDGと共同で実施した「グローバル情報セキュリティ調査 2016(日本版)」の調査結果を発表した。
ハードルがますます下がるDDoS攻撃、経路途中での防御を追求するアカマイ
アカマイ・テクノロジーズは2015年10月19日「DDoS攻撃の実態と対策」と題する記者向け説明会を開催し、昨今のDDoS攻撃の動向を説明。根本的に対応が難しいDDoS攻撃への取り組みを説明した。
カスペルスキー、企業のDDoS攻撃に対する認識と被害実態に関する調査結果を発表
ロシアのカスペルスキーは2015年9月17日、企業の経営者、IT担当者を対象に実施したDDoS攻撃に対する認識と被害実態についての調査結果を発表した。