検索
ニュース

日本は「アタックサーフェスを明確にすること」が苦手 トレンドマイクロがセキュリティの意識調査結果を発表「明確に定義している企業」の割合は29カ国中、日本は28番目

トレンドマイクロは「法人組織のアタックサーフェス(攻撃対象領域)に関するセキュリティ意識調査」の結果を発表した。それによるとアタックサーフェスを明確に定義している企業は全世界で51.3%、日本は34.6%だった。

Share
Tweet
LINE
Hatena

 トレンドマイクロは2022年6月29日、「法人組織のアタックサーフェス(攻撃対象領域)に関するセキュリティ意識調査」の結果を発表した。アタックサーフェスとは、サイバー攻撃を受ける危険性があるハードウェアやソフトウェアのこと。

画像
多様化するアタックサーフェス(提供:トレンドマイクロ

 テレワークの広がりによるネットワークの分散化やクラウドの活用、IoT(Internet of Things)機器など、企業が新たに採用するデジタル資産は多様化している。だがデジタル資産の多様化は、サイバー攻撃者にとって「攻撃対象が増える」ということだ。トレンドマイクロは「アタックサーフェスの多様化は、企業ネットワークへの侵害起点や侵入を拡大する領域を増やし、侵害経路を複雑化させる要因になっている」と指摘している。

 調査対象は、従業員250人以上の企業に勤めるIT部門や事業部門の意思決定関与者。29カ国(英国、ベルギー、チェコ、オランダ、スペイン、スウェーデン、ノルウェー、フィンランド、デンマーク、フランス、ドイツ、スイス、オーストリア、米国、イタリア、カナダ、台湾、日本、シンガポール、オーストラリア、インド、ポーランド、香港、マレーシア、フィリピン、インドネシア、メキシコ、コロンビア、チリ)で実施した。

「サイバーリスクマネジメントの有効策として認識されていない」

 企業がアタックサーフェスに対する攻撃から資産を守るためには「何が対象になるのか」といった定義をし、適切に防御する必要がある。アタックサーフェスを明確に定義している企業は全世界の平均は51.3%で、日本は34.6%だった。

画像
国別で見た「アタックサーフェスが明確に定義されているかどうか」(提供:トレンドマイクロ

 トレンドマイクロによると日本は「アタックサーフェスを明確にすること」が困難だと感じている企業が多く、「アタックサーフェスの定義が、サイバーリスクマネジメントの有効策として認識されていない」と分析している。

 「自社のデジタル資産のセキュリティ設定が適切かどうかを定期的にチェックすることと、IT機器利用のルール整備と合わせて、利用実態を調査し管理することが重要だ。デジタル資産が多様化していることから、重要資産を守るためにサイバーリスク評価を実施する必要がある」(トレンドマイクロ)

 ただ、「サイバーリスクの把握や管理は難しい」と考えている企業もある。その理由として「定量化が難しい」あるいは「リソースが少な過ぎる/能力が限られている」と答える企業が多かった。

画像
サイバーリスクの把握や管理が難しい理由(提供:トレンドマイクロ

 トレンドマイクロは、サイバーリスクの管理や評価を行う上で有効な考え方として、「攻撃シナリオに基づくリスク分析」を挙げた。それは、ランサムウェアやアカウントリスト攻撃など特定の脅威が発生した場合にどこがアタックサーフェスになるかを把握し、各領域の理想の防御体制と現実の防御体制の差を評価して“優先的に対策すべき脆弱(ぜいじゃく)性”を決める手法だ。

 「企業が重要資産を守り、ビジネスを継続するためにも、まずは攻撃対象となり得る領域を明確化し、優先的に対処すべき脆弱性を特定することが重要だ」(トレンドマイクロ)

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 2025年のサイバーセキュリティは何が“熱い”? ガートナーがトップトレンド6選を発表
  2. 日本企業の約8割が「VPN利用を継続」。一方、ゼロトラスト導入済み企業は2割を超える NRIセキュア
  3. 企業は「生成AIのデータローカライズ問題」にどう対処すべきか Gartnerがリスクを軽減するための戦略的アクションを解説
  4. 「透明性向上が狙い」 Mozilla、「Firefox」に利用規約を導入した理由を説明
  5. 「サービスアカウント」「ロール」「API」「アクセスキー」などの“非人間アイデンティティー(NHI)”に潜むセキュリティリスクTOP 10 OWASPが発表
  6. 古いソフト/ファームウェアを狙うランサムウェア「Ghost」で70カ国以上の組織、多数の中小企業が被害に 対策は?
  7. サイバー攻撃からの復旧時間、世界平均は10.9カ月、日本企業の平均は? ファストリー調査
  8. “ゼロトラスト”とトラスト(信頼性)ゼロを分かつものとは――情報セキュリティ啓発アニメ「こうしす!」監督が中小企業目線で語る
  9. 「人材不足は生成AIで」は誤解? 大阪大学 猪俣教授が提言する、セキュリティ人材育成/自動化に必要な意識
  10. ゼロトラストの理想と現実を立命館大学 上原教授が語る――本当に運用できるか? 最後は“人”を信用できるかどうか
ページトップに戻る