画像提供:マイナビニュース

写真拡大

ソフォスは4月17日、グローバルのIT管理者3100名を対象に実施した調査「エンドポイントセキュリティの7つの不都合な真実」の結果を発表した。調査対象の国は、米国・カナダ・メキシコ・コロンビア・ブラジル・イギリス・フランス・ドイツ・オーストラリア・日本・インド・南アフリカの12カ国。

エンタープライズ営業本部セキュリティソリューションコンサルタント /セキュリティエバンジェリストの佐々木潤世氏は、調査結果のポイントとして、次の7点を挙げた。

サイバー攻撃の被害を受けるのは珍しいことではなくなった

IT管理者は、攻撃者の滞在時間を把握していない

IT管理者は脅威の侵入口を把握していないため、それを塞ぐことができない

企業はセキュリティ上問題ではないインシデントの調査に年間41日を費やしている

5社中4社はセキュリティの専門知識の不足により、脅威の検出と対応に苦心している

半数を超える企業がEDR製品を最大限に活用できていない

1度被害を受けた企業は、2度目からより慎重にインシデントを調査する

企業内のサイバー攻撃の検出場所を解析したところ、36.7%がサーバで、36.6%がネットワークで、16.9%がエンドポイントで、9.6%がモバイルデバイスで検出されたという。

最新の攻撃は、エンドポイントから始まった後、より価値のある攻撃対象であるサーバに拡散する傾向があるが、脅威がエンドポイントではなく、サーバで検出されていることは、企業が脅威のチェーンの初期段階で動作を把握していないことが示されている。

また、サイバー攻撃が発見されるまでの時間について聞いたところ、攻撃者の滞在時間を把握していた企業の解凍の平均は13時間だったという。13時間あれば、機密情報の持ち出し、認証情報の窃取、金銭を盗むトロイの木馬のインストールなど、攻撃者は深刻な被害を与えることができる。

佐々木氏によると、発見までの時間が短かったのはオーストラリア、ブラジル、カナダで平均10時間であり、日本企業は17時間と世界平均よりも長い時間だったという。

このように、攻撃が検出されるまでに時間がかかっている理由の1つに、企業が攻撃者の滞在時間を正確に評価するために必要なツールを持っていないことがあるという。

なお、セキュリティベンダーのVerizonが公開しているデータ漏洩に関する報告書は、データ漏洩事件が発見されるまでに数カ月かかっているという結果をまとめている。この調査結果との相違について、佐々木氏は「企業が一部の脅威や攻撃を把握できてないからではないか。また、脅威の検出のしやすさは種類によって異なる。Verizonの報告書はデータ漏洩のみに絞ったものであるのに対し、われわれの調査は広範囲のサイバー攻撃について調査を行った」という見解を示した。

脅威の把握に関連して、脅威の侵入口を把握していない企業が20%という結果が出ている。侵入口を把握していなければ、保護することはできない。

加えて、企業では、1カ月に4回セキュリティ問題の可能性があるインシデントを調査しているが、実際に、問題であると判明する割合は15%のみだという。つまり、企業は年間41日相当を、セキュリティ問題ではないインシデントの調査に費やしていることになる。

こうした調査結果を踏まえ、佐々木氏はエンドポイント向けのセキュリティソリューションである「Endpoint Detection and Response(エンドポイントでの検出と対応)」の有効性を強調した。同ソリューションはその名の通り、エンドポイントにおいて、脅威を検出するとともに対応を行う。同氏は、EDRによって攻撃者のプロセスを追跡できるようになるため、検出までの時間を短縮できるとともに、インシデント調査における無駄な時間を削減できると語った。

ただし、国別で見ると、EDRの導入を予定している日本企業は少ないことが明らかになった。調査対象の日本以外の国ではEDRの導入予定率が80%を超えているにもかかわらず、日本は34%にとどまっている。

さらに、佐々木氏はEDRを導入している日本企業の17.5%がどんな機能があるのかわかっていないと回答しており、日本におけるEDRの認知度が低い状況を指摘した。

今回の調査結果より、佐々木氏は企業へのアドバイスとして「まずは、攻撃を受けることを想定しておくことが大切。EDRは、今回の調査で明らかになった溶暗企業の脅威にまつわる多くの課題に対処することができる。EDRにもさまざまなソリューションがあるので、自社の状況に応じて、考慮して選択したほうがよい」と述べた。