日本の組織は事件の検知から回復にかけてが非常に遅い、似た様な統計はいくつかあった気がしますが、クラウドストライク社の最新調査でもこうした傾向が顕著に出た様です。
www.nikkei.com
日本ではセキュリティー上の脅威となる事象を検知・解析してから修復するまでに平均で約31営業日(223時間、1営業日を7時間として計算)と、世界平均(162時間)の約1.4倍の時間がかかっている。また、ネットワークへの侵入者の検知に要する時間は約24営業日(165時間)と、同じく世界平均(120時間)の約1.4倍だった。
発表会見に登壇した米クラウドストライクのマイケル・セントナス テクノロジー・ストラテジー担当バイスプレジデントは、「1-10-60ルール」と呼ぶセキュリティー対策のベンチマーク指標を推奨していると述べた。「1分で検知し、10分で解析し、60分で脅威を封じ込めて修復することを示す。組織防衛にはスピードが重要だ」(同)
同調査によれば、日本の組織のうちネットワークへの侵入者の検知を重視していると回答した割合は34%と、世界平均を15ポイント上回った。一方でアクセス制御はさほど重視されておらず、世界平均を14ポイント下回る24%が重要事項であるとした。
過去12カ月間に発生したセキュリティー上の脅威に対して、日本の回答者の約80%が「攻撃者による目的達成を阻止できなかった」と答えている。理由として「リソース不足」や「スキル不足」のほか、「(外部に委託する)マネージドセキュリティーサービスにおいて修復対応がカバーされていない」点が指摘された。
(日経XTECH記事より引用)
◆キタきつねの所感
調査は今年10月に全世界1900人のIT部門の意思決定者、セキュリティ担当者を対象に実施されたとのことですが、結果を見ると「そんな感じで妥当かな」と思います。
検知が重要だと思っていても、そして80%が侵害を受けてしまった(防衛に一部失敗した)事を把握していながら、主体的にリソースを当てる事が無さそうと読めるのが怖い所です。
世界平均との差は、攻撃者がそこを突いてくる可能性がある、と読みかえる事ができます。来年の予想を言うのはまだ早い気がしますが、2020年の日本市場は元々東京オリンピック関係で攻撃が激化する事が予測されてます。オリンピックとはあまり関係が無い日本企業も攻撃対象として、海外ハッカーに魅力的に思えてしまう可能性を強く感じます。
去年、第二次世界大戦における有名なフランスの防御策(要塞)、マジノ線について記事を書きましたが、1年経ってより状況は悪化する可能性があるにも関わらず、多くの日本企業は考え方が従来とあまり変わらないという様に思えます。
foxsecurity.hatenablog.com
「(外部に委託する)マネージドセキュリティーサービスにおいて修復対応がカバーされていない」といった回答から読み取れる、セキュリティをMSP等に任せる事は、ただでさえ不足気味な自社リソース有効活用の観点からも重要だと思います。しかし、その前提にはどのMSPにセキュリティのどの部分を任せるか、つまり自社の強い意志(セキュリティ設計)が無いと、単に安い所に発注する・・・というセキュリティ事故が発生しない前提での委託先選定にしか結びつきません。
「(外部に委託する)マネージドセキュリティーサービスにおいて修復対応がカバーされていない」のであれば、自社でその部分を補うか(バックアップ運用を考える、あるいはバックアップサイトを構築する)、又は外部委託先を修復対応を必須として選定すれば良いと思うのですが、自社では何も言わず(お金を払わず)、そのサービスが一般化されてないのが悪い・・・といった回答が日本企業から多く出たのは、やはり世界との差がある(検知や復旧に対するウェイトが低すぎる)のではないでしょうか。
第二次世界大戦前に難攻不落と呼ばれたマジノ線(フランスの要塞群)は、ドイツの機甲師団の奇襲攻撃によってあっさり破られました。強力な防御(FW等の城壁)が効果が無いとは言いませんが、来年のキタきつね的予想では・・・壁が崩れて右往左往する日本企業がいくつも出てきてしまう気がします。
本日もご来訪ありがとうございました。
■日本人のためのパスワード2.0 ※JPAC様 ホームページ
7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。
更新履歴
