McAfee Enterpriseは12月14日、2021年の10大セキュリティ事件を発表した。これは、国内の経営層や情報システム部門などの22歳以上のビジネスパーソン1000人を対象に実施した「2021年のセキュリティ事件に関する意識調査」の結果を基にしたものだ。

今年は、第1位に電子決済サービスを開発・提供する企業が管理するサーバーが不正アクセスの被害を受け、加盟店や従業員の情報など2000万件以上の情報が流出したとされる事件がランクインした。

第2位は「東京五輪の期間中、大会運営に関わるシステムやネットワークへの、合計4億回を超えるサイバー攻撃」、第3位は「人材情報サービスのポータルサイト運営企業が運営する転職情報サイトでの、外部で不正に入手されたとみられるパスワードを使った不正ログイン」となった。

  • 「2021年の10大セキュリティ事件ランキング」 出所:McAfee Enterprise

1位にランクインした事件について、McAfee Enterpriseは、クラウド上に機密情報を有する事業者にとって、サービスを提供するシステム全体の監査とセキュリティ脅威に関する継続的な情報収集および対策の重要性を、あらためて考えるきっかけになったと評した。

同日に開催した記者説明会にて、McAfee Enterprise 執行役 セールスエンジニアリング本部 本部長の櫻井秀光氏は、「この事件では、利用者情報へのアクセス権限設定の不備を突いた攻撃だったという報告がされている。今後は適切な認証、セキュリティの脆弱性を残さない管理と併せて、設定監査により迅速に設定不備を見つけて回収することサイクルを管理者側は実施しなければいけない」と語った。

  • McAfee Enterprise 執行役 セールスエンジニアリング本部 本部長 櫻井秀光氏

今年で8回目となる同調査は、過去1年間(2020年12月~2021年11月)に報道された主なセキュリティに関する事件の認知度を基にランク付けを行っている。ランキングでは、国内の大手企業や米国の重要インフラ事業者をねらったランサムウエア攻撃など、収益化を狙った脅威に注目が集まった。

しかし、櫻井氏は、「2020年の調査と比べると、全体的に認知度は低い結果だった。例年よりもテレビなどでの大きな報道が少なかったように思うが、情報漏洩が日々、どこかで発生している中で、情報漏洩に慣れてしまっているのではないだろうか」と経営者、情報システム担当者などの“情報漏洩の慣れ”を危惧した。

  • 「2020年の10大セキュリティ事件ランキング」 出所:McAfee Enterprise

このほか、記者説明会では、国内の経営層や情報システム部門などの22歳以上のビジネスパーソン1000人を対象に実施した「在宅勤務とクラウドセキュリティ対策状況」の調査結果や、従業員数500人以上の民間企業・自治体・団体等のサイバーセキュリティ分野の決裁権者・意思決定者・関与者を対象にした「2021 データ侵害・ランサムウェア被害の実態調査」の結果も発表された。

従業員のクラウドの利用状況の把握に関する質問では、「指定サービス以外のサービス利用に対しても可能だが、利用状況などは管理・把握している/されている」という回答は全体(有効回答者:613名)の30.8%となった。

この結果を受けて櫻井氏は、「当社でもCASB(Cloud Access Security Broker)を提供しているが、顧客の導入状況から推察すると、おそらくWebセキュリティ製品やプロキシのアクセスログベースの可視化なのではないだろうか」と分析。専用の製品を用いてクラウドサービスのリスク度合いを把握し必要であれば制御する、一歩進んだ対策の必要性を説いた。

また、ランサムウエアへの対策状況(有効回答者数:400名、複数回答)については、「アンチウイルスソフトを最新状態に保つ」の回答が75%、「バックアップ」の回答が66.3%だったのに対して、「EDRの導入など、総合的な対策」が27.3%だったことから、櫻井氏は「PC侵入してデータを取られるという被害は、アンチウイルスソフトを最新に保ち、バックアップを確保できていたとしても防げない。不審な行動を検知できるEDR(Endpoint Detection and Respons)やDLP(Data Loss Prevention)など総合的な対策が求められる」と指摘した。