米IBM Securityは6月30日(現地時間)、サイバー攻撃への対応と準備における企業の有効性を検証した年次発行のサイバー・レジリエンス調査の結果を発表した。組織は過去5年間にわたってサイバー攻撃に備え、検出し、対応する能力を微力ながら改善してきたが、この期間に攻撃を阻止する能力は13%低下した。同社の支援でPonemon Instituteが実施したグローバル調査によると、セキュリティ対応の取り組みは、使用するセキュリティツールの多さと、一般的な攻撃タイプに対する具体的な対応マニュアルの欠如で妨げられていることが判明したという。
調査は米国、インド、ドイツ、英国、ブラジル、日本、オーストラリア、フランス、カナダ、ASEAN、中東を含む3400人超のセキュリティとITの専門家を対象に実施した。
これによると、セキュリティ対応計画は少しずつ改善している一方で、ほとんどの組織(74%)は計画がその場しのぎであるか、一貫して適用されていないか、または全く計画がないことを依然として報告しており、計画の欠如はセキュリティインシデントのコストに著しい影響を及ぼす可能性があると指摘。
インシデント対応チームを持ち、インシデント対応計画を徹底的に検証している企業は、両方の取り組みのコストを削減している企業よりも、データ侵害に対する支出額が平均120万ドル少なくなっているという。
調査結果 - 4つのポイント
年次のサイバー・レジリエンス・レポート(Cyber Resilient Organization Report)としては、第5回目となる今回の主要な調査結果は「漸進的な改善」「対応マニュアルの必要性」「対応を妨げている複雑性」「計画が優れているほど被害が減少」の4点がポイントとなる。
漸進的な改善では、過去5年間において企業全体のセキュリティ対応計画を採用した組織が増加し、2015年には回答者の18%だったが、26%に上昇(44%の改善)している。対応マニュアルの必要性に関しては、正式なセキュリティ対応計画がある組織の中でも一般的な攻撃タイプに対して、具体的な対応マニュアルを策定した組織は3分の1(回答者全体の17%)となり、ランサムウェアなどの新たに出現する攻撃手法に対する計画は、さらに遅れているという。
対応を妨げる複雑性については、組織が使用しているセキュリティツールの量が脅威ライフサイクルの複数のカテゴリーにわたり、マイナスの影響を及ぼし、50以上のセキュリティツールを使用している組織はツールが比較的少ない組織に比べて、検出能力が8%低く、攻撃への対応能力が7%低くなっていた。
そのため、企業全体に適用される正式なセキュリティ対応計画を有する企業は、サイバー攻撃の結果として重大な被害を受ける確率が低くなり、過去2年間はこのような企業で破壊的なセキュリティインシデントが発生したのは39%だったのに対して、正式な/一貫した計画が不十分な企業では62%となり、計画が優れているほど被害が減少している。
また、調査では正式なサイバーセキュリティインシデント対応計画(CSIRP)がある組織の中でも、特定のタイプの攻撃に対して対応マニュアルを作成している組織は33%に過ぎず、攻撃の種類ごとに固有の対応技法が必要になるため対応マニュアルを事前に定義することで、直面する可能性が特に高い一般的な攻撃に対して、一貫した反復可能な行動計画の実行を可能としている。
新たな脅威に対してマニュアルを更新
攻撃に固有な対応マニュアルを持つ少数の組織の中で、最も一般的な攻撃はDDoS攻撃(64%)とマルウェア(57%)を対象としている。これらの攻撃手法は従来の企業では上位課題だったが、ランサムウェアなどの新たな攻撃手法が増加しており、ランサムウェア攻撃は近年70%近く急増したが、対応マニュアルを採用している企業の中でランサムウェア攻撃に対する所定の計画があるのは45%にすぎないという。
また、セキュリティ対応計画を有する企業の半分以上(52%)は、その計画を見直したことがないか、見直し/検証のための期間を設定していないと回答。リモートワークの急激な増加によりビジネスの運営が大きく変化するなか、新たな攻撃技法が常に発生しています。このデータは、多くの企業が、現在の脅威環境とビジネスの状況を反映していない時代遅れの対応計画を利用している可能性があることを示している。
ツールの多さは対応能力の低下を招く
レポートでは、複雑性がインシデント対応能力にマイナスの影響を及ぼしていることも明らかになっており、調査対象者は自社が平均45を超える異なるセキュリティツールを使用し、対応するインシデントごとに平均約19のツール間の調整が必要になると推定したという。
しかし、調査では過度なツールの使用が攻撃に対応する組織の能力を実際に妨げている可能性があることも判明し、50を超えるツールを使用している組織では攻撃を検出する能力が8%低く(5.83/10対6.66/10)、攻撃に対応する能力は約7%低く(5.95/10対6.72/10)なった。
そのため多数のツールを採用することにより、セキュリティ対応への取り組みが必ずしも改善せず、実際にはその逆である可能性があることを示しおり、相互運用性のあるオープンなプラットフォームと自動化テクノロジーを利用し、連携されていないツール間での対応で生じる複雑性を減らすことを可能としている。ハイパフォーマーと評価された組織の63%は、相互運用性のあるツールの利用がサイバー攻撃への対応を改善するために役立ったと回答している。
計画の改善で効果が生じる
今回のレポートでは、正式な計画に投資する組織が適切にインシデントに対応できていることが明確に示され、過去2年間に組織への重大な被害につながるインシデントを経験したのは、正式な計画を導入していない企業で62%であったのに対し、全社的に一貫してCSIRPを適用している企業では39%にすぎないという。
攻撃に対応する能力について組織が言及した具体的な要因を検討すると、セキュリティ担当者のスキルが上位を占めていることが明らかになり、調査対象者の61%は回復力を高めるための上位の要因として、スキルを持つ従業員の雇用を挙げている。一方で自社の回復力が改善しなかったと答えた人のうち41%が上位の要因としてスキルのある従業員の不足を指摘している。
サイバー攻撃に対する回復力が比較的高い組織を調べると、サイバー攻撃に対する回復力の改善のために言及された上位2つの要因は、アプリケーションおよびデータに対する可視性(57%が選択)と自動化ツール(55%が選択)となった。全体として、調査データは、対応のための備えが成熟している組織ほど、回復力を高めるために最新のテクノロジーの利用が進んでいることを示しているという。
