日本版ニュースリリース

シスコの年次セキュリティレポートで企業のサイバーセキュリティ対策の認識と現実とのギャップが明らかに


シスコの年次セキュリティレポートで企業のサイバーセキュリティ対策の認識と現実とのギャップが明らかに

回答企業の90%がサイバーセキュリティ対策に「自信がある」とする一方、その60%はパッチを適用せず、最新バージョンのInternet Explorerを使用しているユーザーはわずか10%に留まる

2015年2月16日

米国シスコ(本社:カリフォルニア州サンノゼ、NASDAQ:CSCO、以下シスコ)は本日、脅威インテリジェンスとサイバーセキュリティのトレンドの両面について詳細な検討を加えた「Cisco 2015 Annual Security Report」を発表しました。この中でシスコは、サイバー攻撃から企業や組織を守るためには「総動員体制」による取り組みが必要であることを明らかにしています。

攻撃する側は一層巧妙な手口を使ってセキュリティの隙を突き、悪質な行為を潜ませるようになっています。ますます高度化するこうしたサイバー攻撃から組織を守るために、企業はセキュリティ担当者を中心に、常に防御姿勢を強めていかなければなりません。この問題は攻撃側の地政学的な動機に加えて、データ主権やデータ ローカライゼーション、暗号化に関して各国の法規制が課す要件の違いが絡むことで、さらに複雑な様相を呈しています。

攻撃する側

サイバー犯罪者が、その戦略を拡大し、さまざまな手法を取り入れたサイバーアタックキャンペーンを実行することによって、これまで以上に検出や分析が困難になっています。シスコの脅威インテリジェンスが昨年1年間に特定した最も重要なトレンドは、以下の3つです。

  • Snowshoe スパム: 近年、盛んに用いられるようになった新たな攻撃手法で、検出されにくくするために大量のIPアドレスから少量のスパムを配信し、感染したアカウントをさまざまな方法で利用する機会を作り出しています。
  • Webの脆弱性を悪用して目立たないように潜む脅威: 広範に利用されるようになったエクスプロイト キットはセキュリティ企業によって素早く解体されています。その結果、オンライン犯罪者は一般に知られていないそれ以外の手法を用いて攻撃を成功させ、目立ちすぎない形で長期にわたって攻撃を続けるというビジネスモデルを活用するようになっています。
  • 複数の悪質な行為の組み合わせ : FlashやJavaScriptには元来から脆弱性が含まれているものの、セキュリティ検知や防御機能が進化することによって、攻撃者はそれぞれの弱点を組み合わせて、こうした脆弱性を悪用するようになっています。FlashとJavaScriptの2つの異なるファイルにまたがって悪質な行為が行われることで、セキュリティデバイスによる攻撃の特定やブロック、リバースエンジニアリングツールを用いた分析を困難にしています。

ユーザー

ユーザーは攻撃と防御の間に立たされています。攻撃のターゲットになるだけでなく、知らない間にエンドユーザーがサイバー攻撃をほう助することにもなっています。2014年、年間を通じ、シスコの脅威インテリジェンスの調査によって、攻撃の焦点が、サーバーやオペレーティングシステムを感染させることから、ブラウザや電子メールレベルでユーザーに対して悪質な行為を働くことに移っていることが明らかになっています。感染したサイトからユーザーがダウンロードすることで、Silverlight攻撃は228%拡大し、スパムや広告を装った悪質な攻撃の拡散が250%増加しています。

防御する側

シスコが世界9カ国*の1,700社の情報セキュリティ最高責任者(CISO)やセキュリティ部門(SecOps)担当役員を対象に実施したCisco® Security Capabilities Benchmark Studyの結果から、サイバー攻撃に対する防御の点で、企業の認識と実際のギャップが拡大していることが明らかになっています。具体的には、この調査では75%のCISOが自社のセキュリティツールを非常に効果的または極めて効果的と考えています。しかし、回答者のうちセキュリティパッチやセキュリティ侵害を防止するための設定といった標準的なツールを導入し、確実に最新バージョンを稼動させている企業は半数以下でした。昨年、「Heartbleed」が大きな話題となったにもかかわらず、全体の56%で4年以上前のバージョンのOpenSSLが使用され続けていることからも、セキュリティ部門が適切な対応を行っていないことを如実に現しています。

企業の多くが自社のセキュリティプロセスは最適化されており、導入したセキュリティツールが効果的だと信じているにもかかわらず、実際にはそのセキュリティ対策には多くの改善の余地があるように思われます。

今回のレポートでは最後に、今や企業の経営陣が率先してセキュリティ対策に取り組むべきであるという提言をまとめています。シスコの「セキュリティ・マニフェスト」は、セキュリティ対策を実現する際の基本となるセキュリティ原則をまとめたもので、企業の経営陣やセキュリティ担当者、あるいは企業内のユーザー1人1人が、現在の世界が抱えるサイバーセキュリティの課題を十分に理解し、対応していくために役立ちます。このマニフェストを出発点とすることで、組織や企業はセキュリティ対策によりダイナミックな姿勢で取り組み、攻撃者以上に適応力を高め、新たな技術を取り入れていくことができます。

シスコのセキュリティ マニフェスト

  1. セキュリティはビジネスをサポートすること
  2. セキュリティは既存のアーキテクチャと連動し、使用可能なものであること
  3. セキュリティは透明性を持ち、十分な情報を提供しうること
  4. セキュリティは可視化でき、適切な対策が可能なものであること
  5. セキュリティは全ての人の問題として見なされること

シスコ 年次セキュリティ調査レポートの全文は、www.cisco.com/go/asr2015 [英語]でご覧いただけます。

レポートについて

「Cisco 2015 Annual Security Report」はセキュリティに関するレポートとして定評があり、シスコのセキュリティエキスパートによって収集された最新のサイバー攻撃の脅威インテリジェンスを基に、その防御に対する業界の洞察やヒントなど、2015年のセキュリティトレンドを明らかにしています。
レポートには、シスコのSecurity Capabilities Benchmark Studyの調査結果の概要や、サイバー攻撃の防御に関する企業の認識や対応策の現状も含まれています。さらに、国別の傾向やデータローカライゼーションに関する世界の開発状況、さらにサイバーセキュリティを企業経営の優先課題として議論することの重要性なども取り上げられています。

コメント

シスコ、シニアバイスプレジデント兼最高セキュリティ トラスト責任者、ジョン・スチュワート(John N. Stewart)
「セキュリティに対しては、企業の経営陣から個人ユーザーに至るまで、すべての関係者が「総動員体制」で挑む必要があります。これまでのDoS攻撃に加え、昨今はデータ破壊に対しても注意しなければならなくなっています。また、かつてはIPの盗難を心配していたものが、今や基幹サービスの停止を心配しなければならなくなっているのです。攻撃の手はますます巧妙になり、脅威は私たちの脆弱性を突いて、見た目にはわからない形で潜んでいます。攻撃の初めから終わりまで、すべての局面に対して継続的なセキュリティ対策が提供される必要があり、そうしたことを念頭に設計され、構築されたテクノロジーを購入する必要があります。また、オンラインサービスには障害復元力が備わっている必要があり、こうした動きがとれるかどうかで明暗が分かれ、企業の将来を守ることにつながります。そのために、今、IT業界にはかつてないリーダーシップと協力、連携が強く求められています」

シスコ、セキュリティ事業グループ プリンシパルエンジニア、ジェイソン・ブルベニク(Jason Brvenik)
「攻撃する側はより巧妙な手口を使ってセキュリティの間隙を悪用するようになっています。シスコの考察によれば、OpenSSLの全バージョンのうち56%に依然としてHearbleedの脆弱性が存在し、主要な攻撃に利用されているのは緊急性の高い脆弱性のうちわずか1%に過ぎないものの、いつ何時悪用されてもおかしくない状態にあることが判明しています。それにもかかわらず、調査対象企業のセキュリティチームのうち、このセキュリティ侵害の防御のためにセキュリティパッチや構成管理等の標準的なツールを使用しているケースは半数にも満たず、最新のセキュリティ技術があっても、ますます洗練度を高めた攻撃や悪用から組織やユーザーを守るためには、優れたプロセスの確立が必要であることが明らかになっています」

関連リソース

*注)米国、ブラジル、英国、ドイツ、イタリア、インド、中国、オーストラリア、日本の9カ国

# # #

*Cisco およびシスコ ロゴは、シスコまたはその関連会社の米国およびその他の国における商標です。シスコの商標の一覧については、http://www.cisco.com/web/JP/trademark_statement.htmlをご覧ください。記載されているサードパーティの商標は、それぞれの所有者に帰属します。「パートナー」または「partner」という用語の使用は Cisco と他社との間のパートナーシップ関係を意味するものではありません。(1305R)

**当資料は、2015年1月20日に米国で発表されたニュースリリースの抄訳です。
Cisco Annual Security Report Reveals Widening Gulf Between Perception and Reality of Cybersecurity Readiness