Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

セキュリティはIT部門の責任だけではない

A10ネットワークスが3月9日に「企業のサイバー攻撃被害の実態やセキュリティ意識に関する調査」結果を発表していました。

www.a10networks.co.jp

調査結果の要約部分をみただけでも、興味深い日本企業の実態がうかがい知れます。

要約
  • 調査によると47%の企業が情報漏えいを、38%の企業が過去1年間にDDoS攻撃を、22%の企業がランサムウェアによる攻撃を経験しており、世界の多く企業が実際にサイバー攻撃に悩まされていることが明らかになっています。
  • 日本は、情報漏えいやDDoS攻撃ランサムウェアの全てにおいて、対象国で最も被害を経験していないという結果が得られています。一方日本のIT管理者は、対象国で最もDDoS攻撃およびランサムウェアの被害を把握しておらず、多くの日本企業がサイバー攻撃に気づいていない恐れがあります。
  • 日本の従業員の50%(世界平均は32%)が、DDoS、ボットネット、二要素認証などのセキュリティ用語について知らないと答え、対象国で最も高い日本の従業員の43%(世界平均は32%)が、ビジネスアプリや個人情報の管理責任はIT部門にあると答えており、日本の従業員のセキュリティに対する意識の低さがうかがえます。
  • 日本は他国と比べて最もセキュリティポリシーについて定期的に従業員とコミュニケーションをとれておらず、日本のIT管理者の41%がポリシーの策定や実施に対する企業規模の取り組みがないことに悩んでいます(世界平均は29%)。

f:id:foxcafelate:20180310094842j:plain

f:id:foxcafelate:20180310094846j:plain

◆キタきつねの所感

詳しくはA10のサイトを見て頂いた方が良いかと思いますが、この調査データ・・私がセキュリティコンサルタントして日本企業の方々と話している実感とかなり合っています

企業のセキュリティ担当の方と話している感覚では、初歩的な攻撃を受けている(例えば海外IPからのポートスキャンや迷惑メールの件数等々)事は理解している方が多い印象です。しかし2017年は日本年金機構、ベネッセといったような、組織を揺るがすような象徴的な事件が(日本では)発生しなかった事を受けてか、警戒が薄い企業が多いかも知れません。

被害を受けているかどうか・・・いわゆる自己検知能力の部分ですが、事件を受けてのニュースリリース等々を見ている限り、SOCが検知できている場合やディオス・セシールなどの例外はありますが、日本企業は「検知」より「防御」意識の方が強すぎる傾向にあるのは間違いありません。

危機感が薄いことの影響からか、従業員のセキュリティ関心度は低く、それがDDoS攻撃』や『2要素認証』を知らない従業員が多いという調査結果に結びついていそうです。標題にも挙げましたが、(企業で働いている時間の)ビジネスアプリや個人情報の管理責任はIT部門が多くの役目を担っている事は否定しませんが、セキュリティは基本的には『自己責任ではないでしょうか。

セキュリティ管理者(あるいは経営層)、従業員、日本企業の『セキュリティ意識向上』が課題であると改めて感じた調査レポートでした。(非常に共感できたレポートでした)

 

 

eラーニングのイラスト(女性)

 

更新履歴

  • 2018年3月10日AM(予約投稿)