約8割の企業トップはサイバー防御力なし？ 残念な調査結果

サイバー防御は企業全体の取り組みとしてごく当たり前になった。だが、成功しているとは必ずしも言えない。何が間違っているのだろうか。

[David Jones，Cybersecurity Dive]

　企業が存続し、成長するにはサイバーセキュリティの取り組みが欠かせない。このような認識は経営陣として当たり前のことになった。だが、そのために何が必要なのか理解しているのだろうか。

サイバー防御に必要な「武器」を使いこなせていない

　Google Cloudの一部門Mandiantの報告によれば、約8割の企業がサイバー攻撃者についての洞察を持たないままサイバーセキュリティに関する意思決定を下していることが明らかになった（注1）。何が不足しているのだろうか。

　Mandiantの報告は市場調査会社Vanson Bourneの調査に基づく。この調査では世界の企業における「脅威インテリジェンスの価値と導入」について調査した。回答者は金融サービスやヘルスケア、政府機関などに勤めており、13カ国、18業種に及んだ。

　調査では、サイバーセキュリティに関する意思決定者1350人のほぼ全員が、自分たちが受け取っている脅威インテリジェンスの質に満足していると回答した。しかし、回答者の約半数は、その脅威インテリジェンスをセキュリティ組織全体に効果的に利用することが最大の課題だと回答した。

　さらに回答者の約3分の2は上級の役職者が組織を標的とするサイバー脅威をまだ過小評価していると回答した。

　Google Cloudのルーク・マクナマラ氏（Mandiant担当プリンシパルアナリスト）は、「効果的な脅威インテリジェンスは検知に影響を与え、インシデント対応に情報を与え、ネットワーク防御者が脅威を未然に防ぐための指針になる」と述べた。また、脅威インテリジェンスを活用すれば、経営幹部や役員は脅威の状況や脅威が業務にどのような影響を及ぼすかについて、より深く理解することができる。

潜伏する攻撃者の意図をつかむには脅威インテリジェンスが必要

　「脅威インテリジェンスは企業のセキュリティ機能へのインプットだ。企業内の適切な関係者に伝わって適切に使用されれば、ビジネスリスクの軽減に役立つからだ」（マクナマラ氏）

　攻撃者は企業のコンピュータシステム内に数週間から数カ月間潜伏していることも珍しくない。攻撃者のテクニックや行動パターンが分かっていない場合、何が起こったのかをセキュリティチームが理解する前に甚大な被害を受けることがよくある。

　例えば、SolarWindsのサプライチェーン攻撃は2020年12月に初めて公開されたが（注2）、その後の調査によれば、攻撃が公式に発見される1年以上前から、攻撃者が政府機関や民間企業のシステム内に静かに潜んでいたことが分かっている。

　だが「現在の動向についてセキュリティチームが上級役職者と定期的にコミュニケーションを取っているとは限らない」とMandiantのレポートは指摘する。

　サイバーセキュリティに関する議論は経営幹部や取締役会メンバー、その他の上級ステークホルダーを含め、企業内で平均4〜5週間に1回交わされている。投資家など他のグループとの間では、サイバーセキュリティに関する議論は平均7週間に1度となり、頻度はそれほど高くない。

　これでは脅威インテリジェンスから得られる情報をうまく利用しているとはいえない。攻撃者が準備を進めている間、ただ待っていることになるからだ。

出典：Companies often operate in dark with little applied threat intelligence（Cybersecurity Dive）

注1：Global Perspectives on Threat Intelligence Report

注2：SolarWinds initially hacked in September 2019, 3rd malware found（Cybersecurity Dive）