サイバー犯罪者というのは、なかなかの切れ者です。サポートや管理業務に奮闘する組織のバーチャルな防壁に亀裂があり、突然の労働力の分散やサプライチェーンの混乱、IT予算の削減によってそれが拡大するのを発見すると、彼らはすぐにその亀裂に飛び付いて、世界中にセキュリティアラームを鳴り響かせます。
今年で3回目となる「VMware Carbon Blackグローバル脅威年次レポート」では、最近のグローバル規模の混乱がサイバー犯罪者にとって新たな機会を生み出し、前例のない脅威を引き起こしていることを警告しています。その一方、ポジティブな面として、高まるリスクに対処するための戦略を企業が確かに持つようになったことを挙げています。
ポイント#1:サイバー攻撃は世界中で増加している
サイバー攻撃の加害者は革新的なやり方で成功を収めており、従来のセキュリティモデルは既に崩壊しています。調査対象となったセキュリティ専門家の90%が、サイバー攻撃は増加していると回答しました。また、これらの数字に驚きはありませんが、世界中の企業のうち94%の企業が被害に遭っており、過去1年間の被害報告数は平均2.17件でした。
「直面する攻撃の量が増加した」と述べたセキュリティ専門家の割合 90%
データの漏洩に遭った組織の世界中での割合 94%
「攻撃がより高度になった」と述べたセキュリティ専門家の割合 80%
COVID-19がさらに決定的な影響を及ぼしました。世界中で在宅勤務の指令が出されたことで、統制的な国民国家と詐欺師らが、同様に機会を得ることになったのです。
“セキュリティ専門家の10人中9人以上が、在宅勤務施策の直接的な結果として、全体的なサイバー攻撃の増加が見られたと語っています”
「COVID-19により、組織は、自らのスタッフの職場をコントロールできなくなるという厳しい現実に直面しています」と、Full Scope Consulting LLCの元CISOで、現社長を務めるマシュー・トッド(Dr. Matthew Todd)氏は語ります。「多くの組織には在宅勤務のプランなどなく、あったとしてもそれは不十分でした。ほとんどすべての人が急に在宅勤務をするようになり、サポートが不十分な機器や私物の機器を使っています。誰もそれに対する訓練を受けていませんし、ITチームもツールやリソースを準備していませんでした。人間と技術の双方のセキュリティ間に生じたギャップを、悪意を持った人間が利用するのは当然のことだといえます」(同氏)。
ここでの、最も大きな問題は何でしょうか?それは、より高い機密性を確保してユーザーがシステムにアクセスできるようにする必要があるにもかかわらず、多要素認証(MFA)の導入がなかなか進んでいないことです。MFAがないと、たった一度のフィッシング攻撃で従業員の資格情報が流出し、システム全体が危険にさらされてしまいます。
企業はまた、COVID-19に関連したマルウェアとの戦いや、タイムリーなソフトウェアパッチの公開についても頭を悩ませています。
ステイホーム中の最大のセキュリティ脅威とは
- 多要素認証を導入できない(29%)
- COVID-19関連のマルウェア(15%)
- タイムリーなソフトウェアパッチを公開できない(13%)
企業は、エンタープライズアプリケーションとエンドポイントを、最先端のサイバー攻撃から保護しなければいけません。そのためには、1日あたり数十億にも及ぶセキュリティイベントを収集・分析できる、振る舞いベースのセキュリティテクノロジーを活用した実証済みのセキュリティソリューションが必要です。
ポイント#2:脆弱なのはサプライチェーン
小規模企業をまず狙い、実際の標的であるそのビジネスパートナーに「アイランドホッピング」する攻撃が増加しています。数年前に米国の小売大手に対して行われた派手な攻撃と同じ手口ですが、現在でも行われています。攻撃者は、セキュリティ対策が十分でない小規模企業の持つ脆弱性を、それより遥かに大規模で利益が得られそうなパートナー企業への攻撃の入り口として利用します。
アイランドホッピング攻撃による被害は、昨年は全体の13%となっています。この事実から、次の言葉を心に留めておく必要があります。
企業が自身のセキュリティリスクを評価するにあたっては、企業データと操作環境にアクセスできる、すべてのサードパーティー・パートナーについても精査すること。
暖房や空調などのシステムメンテナンスを行うサプライヤーが、機密性の高いITシステムにアクセスできてしまうことも珍しくありません。トッド氏は、「サプライチェーンの脆弱性は、特に目新しいものではありません。NIST CSFフレームワークなどでも具体的に注意喚起されています。目新しいのは、サプライチェーンがもはやサプライヤーとクライアントという個別の存在のセットではないということです。現在、サプライヤーとクライアントとは組織のインフラストラクチャの一部であり、複雑で有機的な方法により相互に依存し合っています。そのため、リスク分析は困難を極めます。インフラストラクチャとオペレーションのうち、直接管理できていないものが一体どれだけあることでしょうか」と語ります。
よって、次のことが推奨されます。それは、パートナーのセキュリティ製品だけを見るのではなく、そのアプローチについて検証することです。ゼロトラストかつ最小権限モデルを採用しているか。また、セキュリティ製品を後付けするのか、それともすべてのアプリやクラウド、デバイスがより適切に保護されるようにインフラストラクチャに組み込むのか。効果的な内在的セキュリティモデルがあれば、セキュリティ専門家はネットワーク上で起こっているすべてのことを見ることができます。アイランドホッピングが行われている最中であっても、それをキャッチできるでしょう。
ポイント#3:脅威と戦うためのセキュリティ予算が増加している
「被害により企業イメージが損なわれた」と述べた企業の割合 70%
セキュリティは、ニュースになるような問題の発生を防ぐだけではなく、顧客のロイヤリティと信頼を維持するためにも重要であるということが、組織全体の現在の共通認識となっています。IT予算は概して縮小傾向にあるにもかかわらず、96%もの企業でセキュリティ予算が増加しているのは、それが理由でしょう。この数字は、2019年10月時点では90%、同2月では88%でした。調査回答者によると、サイバーセキュリティ予算は平均して27%増加しています。
トッド氏は、「攻撃の高度化と、統合された包括的かつ全体的なセキュリティに対するニーズの高まりは、私の2020年についての予測で述べた通りです。このレポートで、企業に可能性を与える手段として、セキュリティに重点を置いていることを心強く思います。組織がこれを全面的に受け入れてくれることを願いますが、単に『セキュリティ予算』を増やせばリスクが軽減するとは考えないでもらいたいところです」と語ります。
セキュリティチームは、新製品に投資する必要はありません。彼らは既に、平均して9近く(8.91)のセキュリティツールを持っています。その代わりに、アプローチの方法を根本的に変える必要があります。
導入済みテクノロジーの平均数 8.91
世界共通の課題
「今回の調査プロジェクトで印象的だったのは、各国間で幅広いコンセンサスを得られたことでした」。VMware Carbon Blackのセキュリティ戦略責任者、リック・マッケルロイ(Rick McElroy)はこう語ります。「これまで以上に多くの地域で、攻撃量の増加とそれによる被害の数について過去最高の数値が報告されましたが、セキュリティ予算額の増加も過去最高でした。これが示すものはまさに、サイバーセキュリティが世界規模のボーダレスな課題であるということです」(マッケルロイ)。
一部の企業は既に先を見越して、セキュリティ運用を変更してクラウドの活用を始めています。彼らは、ネットワーク、エンドポイント、ID、そしてアナリティクスといった、最重要のセキュリティ管理ポイントからデータを収集・分析しています。顧客の採用傾向や、Carbon Blackグローバル脅威年次レポートの内容を見ると、後付けのセキュリティではなく、ビジネスのデジタル基盤に組み込む内在的セキュリティ(intrinsic security)を企業が整備していることがはっきりと分かります。
*US参考資料原文、および参考資料内コメントは下記URLよりご覧ください。(英語サイト)
https://www.vmware.com/radius/global-cyber-risks-are-rising/
