Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

デロイト最新調査「2021 future of cyber survey」

デロイトが世界のCスイーツの幹部を調査したレポートを出していましたが、全世界的な傾向として「やられ過ぎ」である事が伺えます。

www2.deloitte.com

 

キタきつねの所感

デロイトのHPで調査データに関する、インフォグラフィック資料が公開されていたので、こちらをいくつか引用しますが、初っ端に、過去1年間にほぼ全て(98%)の米国組織1つ以上のサイバーインシデントを経験しているという衝撃的なデータが出ていました。

f:id:foxcafelate:20211027110932p:plain

 

米国組織のサンプル数は159なので156組織が被害を受けたと回答している事になるのですが、デロイトが調査を依頼する企業と考えるとほとんどが大企業なのかと思われます。

平均的値は出て無いのですが、グラフから判断すると米国企業では年間平均5セキュリティインシデントが発生していたとみる事ができそうです。

 

一方で米国以外ではサンプル数577となっており、84%(2/3以上)が過去1年間にサイバーインシデントを経験している事となり、これもこれで十分に多い気がしますが、米国の方が「より狙われている」現状がよく分かります。

平均数は(ぱっと見ですが)米国よりは少ない様に見えますので、年間平均で3程度のセキュリティ一インシデントが発生している様です。

 

このサイバーインシデントの中身については、デロイトの調査レポート概要には出ていません。詳細分析内容を含んだ調査レポートはデロイトが後日公開するのだろうと思いますが、その内容が”垣間見える”データが掲載されていました。

 

それが経営層の”最も気にしているサイバー脅威”の回答です。

f:id:foxcafelate:20211027112553p:plain

 

これを見ると、米国の経営層(Cスイーツ)と米国以外の経営層とで懸念点に差が出ています。

 

■米国(緑)は、

「善意の従業員による意図しない行動」:28%

ランサムウェア、フィッシングおよびマルウェア」:27%

サードパーティおよびコントラクターのリスクやその他のサプライチェーン上の不備」:20%

「国家による脅威」:15%

となっており、従業員のミスに対する懸念が1番だった所は意外でしたが、ランサム/フィッシング/マルウェアや、サードパーティリスク、国家支援によるサイバー攻撃など、インシデントが度々報じられてきた内容ばかりです。

 

■米国以外(青)は、

DDoS攻撃」:13%

「善意の従業員による意図しない行動」:16%

ランサムウェア、フィッシングおよびマルウェア」:33%

サードパーティおよびコントラクターのリスクやその他のサプライチェーン上の不備」:22%

となっており、「国家支援による攻撃」は米国のみであって、DDoS攻撃が懸念されている事や、ランサム比率が少し高い(従業員ミスは少し低い)事などは米国とは違った傾向と言えます。

 

もう1点インフォグラフィックスから引用しますが、CEOや経営陣にとってサイバーがトップマインドであるかどうか?(経営会議でサイバーが取り上げられる頻度)について、米国も米国以外も高い数字なのですが、米国はほぼ全ての企業(96%)毎月サイバーが議題に上がっていると回答したのに対し、米国以外では88%とわずかに低い点は、”サイバーを議題として取り上げる必要がなければ良い”事ではありますが、米国以外の方が経営陣の認識が少し低い事が、サイバー被害が多くなっている中で気になる部分です。

f:id:foxcafelate:20211027113925p:plain

 

余談です。この米国以外・・・の所に、日本企業がどの程度含まれているかが分からないのですが、直感的には日本企業の多くは、この数字に遠く及ばない対応をしている気がしてなりません。

 

米国を含む世界の経営陣はサイバー対策分野で日本の先を行っている、それでも被害が増えている、そうした状況を日本の経営陣も、こうしたデロイトの調査データを見て、よく理解する必要があるのかと思います。

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

データ分析のイラスト

 

更新履歴

  • 2021年10月27日 AM

【限定】「タピオカワールド」からのカード情報漏えい

この続きはcodocで購読

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 タピオカミルクティーを飲む人のイラスト(女性)

 

更新履歴

  • 2021年10月26日 AM

【OSINT】セキュリティ記事まとめ(10/26)

この続きはcodocで購読

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

f:id:foxcafelate:20210708121820j:plain

 

更新履歴

  • 2021年10月26日 AM

■今週のセキュリティ記事(10/17-10/23)

この続きはcodocで購読

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

ニュースサイトのイラスト

更新履歴

  • 2021年10月25日 AM(予約投稿)

【OSINT】セキュリティ記事まとめ(10/25)

この続きはcodocで購読

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

f:id:foxcafelate:20210708121820j:plain

 

更新履歴

  • 2021年10月25日 AM

トラッシングの脅威は増しているのか?

ハリウッド映画に出てくる”スパイ”が良く使う情報収集手法として、古くからトラッシング(ゴミ箱漁り)というものがあります。コロナ禍において、トラッシングの脅威が変化しつつある様です。

ascii.jp

 個人情報は、悪意のある攻撃者の標的だ。少なくとも、できるだけ漏れないようにする必要がある。 オンラインで購入したもののレシートや、リサイクル用に捨てた紙に記載されている情報など、誰に見られてしまうか分からないため、機密情報の廃棄には細心の注意を払う必要がある。

 先日、小包を受け取った際、その外側に自身の電話番号が記載されていたのにとても驚かされた。今まであまり経験のないことだった。個人情報保護の観点から望ましくないのに加え、電話番号がサイバー犯罪者に悪用される恐れもある。過去に漏えいした情報やダークウェブ上で得られる情報と組み合わせて、個人が特定されてしまうかもしれない。実際、今年のはじめにFacebookは、5億3300万件の電話番号がEメールアドレスと合わせてインターネット上で検索可能な状態であると報告した。これはサイバー犯罪に悪用されるリスクが極めて高い。

 

キタきつねの所感

いわゆるソーシャルエンジニアリング手法の1つ、トラッシング(ゴミ箱漁り)なのですが、これは古くから存在する攻撃手法です。

ソーシャルエンジニアリングの対策|社員・職員全般の情報セキュリティ対策|企業・組織の対策|国民のための情報セキュリティサイト

 

映画では、少し古い映画、2006年公開のハリソン・フォードファイヤーウォールを思い出しますが、サイバー攻撃手法とは違い、物理的な手法であるにも関わらず、未だに”注意喚起”が出される所に、少し形を変えたソーシャルエンジニアリング”の脅威を感じます。

 

ASCIIの記事で”留意が必要”だとされているのは、意外な所でした。

続きを読む