英Sophosは、従業員数100人から5000人の組織に勤務する日本を含む12カ国のIT管理者3100人を対象に、サイバーセキュリティ体験について尋ねた「The Impossible Puzzle of Cybersecurity」として6月にまとめている。

「The Impossible Puzzle of Cybersecurity」(英語/<a href="https://secure2.sophos.com/en-us/medialibrary/Gated-Assets/white-papers/sophos-impossible-puzzle-of-cybersecurity-wp.pdf" target="_blank">PDF</a>)

「The Impossible Puzzle of Cybersecurity」(英語/PDF)

2018年にサイバー攻撃を経験したと回答した3社中2社(68%)が、ネットワークへの侵入を阻止できなかったと述べ、10社に9社(90.5%)が、その時に動かしていたサイバーセキュリティ保護技術は最新のものだったと回答しており、レポートでは、これはセキュリティホールがそのままになっているのではないかと推測している。

今回の調査では、昨年度経験した攻撃の入り口として電子メール(33%)、Web(30%)、脆弱性(23%)、USB(14%)という具合に複数のチャネルが比較的均等に並んでいるが国により傾向が異なる。コロンビアではWebからの攻撃、ドイツではメール、インドでは脆弱性、メキシコではUSBと不思議なほど分散傾向も見られ、攻撃者が国毎の地理的な傾向をサーベイしている可能性に触れている。日本では45%がメール、28%がWeb、15%がUSB、10%がソフトウェアの脆弱性という結果となっている。

デジタル化が進み多様な入口からリスクが入り込む可能性が増えるなか、組織防衛の前線に立つIT管理者は一体何をトップセキュリティリスクとして考えているのか?も聞いている。結果は以下のとおり。


1.Phishing emails(50%)
2.Software exploits(45%)
3.People (staff, contractors, visitors)(44%)
4.Insecure wireless networking(36%)
5.Unknown devices(31%)

フィッシングやエクスプロイトが上位に並ぶことは想定されることだが、3番目に"人"が入っており、それが44%にも及ぶ。従来とは異なるサイバーセキュリティへのチャレンジになるとする。"人"のミスによるインシデントが多いことは多くのレポートでも明らかになっており、また権限を持つ者の不正防止である特権ID管理なども重要な視点になるだろう。権限を持つものの故意や過失は当然、被害も大きくなる。

実際に被害にあった攻撃の種類では、フィッシングが53%、データ侵害が41%、悪意あるコード(malicious code)が35%、ソフトウェアエクスプロイトが35%、ランサムウェアが30%、資格情報の盗難(credential theft)が21%(複数回答)。という具合になる。レポートは、マルチステージでの攻撃への注意が読み取れるとしている。フィッシング攻撃が、悪意あるコードを実行し、エクスプロイトがランサムウェアのインストールへと導くという連動する攻撃となる。改めて、もっとも普及した入り口になるフィッシングメールに注意が必要だ。

IT部門が直面している3つ目の問題が、スキル不足。IT部門の26%の時間がサイバーセキュリティ問題に割かれており、攻撃から身を守るための取り組みに追われている実態が明らかになっている。回答者の多く(86%)が、これらの脅威に対抗するためにはこれまで以上のスキルが必要だと答え、10人中8人が、適切な人を探すのに苦労していると述べている。また回答者の3分の2が、人と技術の予算が足りないと回答しており、悲鳴を上げている状況が浮かびあがる。