SecurityInsight | セキュリティインサイト

シスコシステムズ、「シスコ2017年中期サイバーセキュリティレポート」を発表

シスコシステムズは10月3日、年々進化し規模が拡大しているサイバー脅威のトレンドや対策をまとめた「シスコ 2017年中期サイバーセキュリティレポート」の日本語版をリリースした。

今回のレポートの中では、IoTにより増加したさまざまなデバイスや、システムが抱えるセキュリティの脆弱性を狙った新たなサービス破壊(Destruction of Service、以下DeOS)型攻撃が出現する可能性について予測している。

シスコはエクスプロイトキットの活用が急激に減少している一方で、その他従来型の攻撃が再び勢いづいていることを明らかにしている。今回のレポートの主な調査結果は以下のとおりとなっている。

●特有の業界が直面する共通課題
シスコがセキュリティ能力ベンチマーク調査(Security Capabilities Benchmark Study)の一環として世界13か国のセキュリティリーダー3000人近くを対象に行なった調査によれば、あらゆる業界を通じてサイバー攻撃は次第にセキュリティ部門の手におえない量にまで拡大しつつあり、多くの企業では防御のための取組みがますます後手に回っている状況になっている。

・セキュリティアラートの原因究明を行なっている企業は3分の2以下に留まっており、特定の業界(ヘルスケア、交通・輸送など)ではこの割合が50%近くまで低下している。

・金融やヘルスケアなど最もセキュリティに敏感な業界においても、攻撃に対して正規の緩和措置を取っている企業は全体の50%以下に留まっている。

・セキュリティ侵害の発生が企業に警鐘を鳴らす結果となっている。ほとんどの業界を通じて、セキュリティ犯罪の被害が生じたことをきっかけに、90%の企業でセキュリティの改善に向けて、少なくとも何らかの対応が取られている。一部業界(運輸など)は他の業界に比べてこの割合は低く、80%程度に留まっている。

●業界別の主な調査結果
・公共セクター:
調査対象となった脅威のうち、32%は正規の脅威であると特定されているものの、そのうち、最終的に対応策が取られたものは47%に過ぎなかった。

・小売:
調査の対象となった企業の32%が昨年1年間にサイバー攻撃による損失があったと答えており、4分の1の企業が顧客やビジネス機会を失ったと回答している。

・製造:
製造業界のセキュリティ担当者の40%が正式なセキュリティ戦略がない、もしくはISO27001やNIST800-53など情報セキュリティに関する標準化されたポリシーが実践されていないと答えている。

・ユーティリティ:
セキュリティ担当者は自社にとって最も重大なセキュリティリスクとして、標的型攻撃(42%)や高度な持続型攻撃(Advanced Persistent Threat)(40%)を挙げている。

・ヘルスケア:
ヘルスケア企業の37%が標的型攻撃によって極めて高いセキュリティリスクが生じていると回答している。

●シスコの提唱
ますます高度化する今日の攻撃者に対抗するために、企業や組織はより積極的な姿勢で防御策に取り組む必要がある。シスコ セキュリティからのアドバイスは以下のとおり。

・インフラストラクチャやアプリケーションを常に最新バージョンにアップデートしておくこと。そうすれば攻撃者たちは公表された脆弱性に付け入ることはできなくなる。

・統合防御を通じてセキュリティにおける複雑さを徹底的に排除すること。サイロ化された投資を抑えること。

・企業の経営陣をいち早く取り込み、リスクやセキュリティ防御に取り組むことによって得られる利益、予算的な制約に関して確実に十分な理解を得ること。

・明確な指標を設定すること。設定した指標を用いて、セキュリティに対する取り組みを検証し、改善を図ること。

・従業員に対するセキュリティ研修を見直し、全員一様のトレーニングではなく、職位や役割に応じたトレーニングを実施すること。

・防御策と積極的な対応とのバランスを保つこと。セキュリティのコントロールやプロセスについて、「設定だけして放置」にならないようにすること。
 

関連リンク

プレスリリース