2022年6月17日
エンタープライズセキュリティの4つの要点
先頃実施された調査により、サイバーセキュリティに自信を持っている組織は3割にとどまる一方で、セキュリティに優れた組織には共通の特徴があることも判明しました。
リーダーのためのアドバイス
- ゼロトラストフレームワークとAI主導の自動化は、デジタルビジネスを保護するうえで大きな強みとなります。
- 多くの組織がエッジにおけるデバイスの保護に依然として苦労しています。
- デジタルトランスフォーメーションを成功へと導くためには、インフラストラクチャのセキュリティ対策が欠かせません。
全世界でテクノロジーインフラストラクチャへの攻撃が年々増加の一途をたどっています。昨年度にメディアを賑わせた事例が示しているとおり、サイバー攻撃は組織に深刻な影響を及ぼす恐れがあります。
Log4Shellのようなゼロデイ攻撃は、何百万もの組織で使用されているコードライブラリを標的とし、被害を受けたWebサーバーを攻撃者がリモート制御することを可能にします。またAdvanced Persistent Threat (APT) は何か月にもわたって企業ネットワーク内に潜伏し、検知されるまでの間に機密データを秘かに盗み続けます。さらにSpectreやMeltdownエクスプロイトのようなシリコンへの直接攻撃は、従来のマルウェア対策ソフトウェアをかいくぐることが可能です。
数字は厳しい現実を物語ります。Identity Theft Resource Centerによると、米国におけるサイバー攻撃に起因するデータ漏洩は2021年に27%増加しています。またIBM社の調査によると、侵害により企業が被る平均コストは現在400万ドルを超えています。さらにPalo Alto Networks社のUnit 42コンサルティンググループの報告によると、ランサムウェアの身代金要求額が昨年上半期に500%以上急上昇しています。
深刻化する状況に対して組織側の対策は進んでいません。最近の調査により、テクノロジーインフラストラクチャのセキュリティ対策が、攻撃の増加と高度化に追いついていないことが明らかになっています。
調査から浮かび上がる効果的なセキュリティ戦略
Ponemon Institute社はHPEの委託により年2回の調査を実施しており、先頃行われた調査では、北米、英国、ドイツ、オーストラリア、および日本の1,848人のテクノロジー/セキュリティ担当者から回答を得られました。その結果、サイバー攻撃との戦いに後れを取っている業界が明らかになる一方で、組織がセキュリティ体制を強化するうえで有効な複数のベストプラクティスも判明しました。
主な調査結果の一部をご紹介します。
- 現在の脅威状況に非常に効果的に対応できていると回答した組織はわずか30%で、2020年に実施された同様の調査からほとんど変化していません。
- 回答者の35%のみが、自身のネットワークがAPTや類似の攻撃により侵害されていないことを確信できています。
- 自身の組織の対応を「非常に効果的」と評価した回答者でも、ネットワークが侵害されていないことを確信できている割合は47%にとどまります。
セキュリティ対策に優れている組織とその他の組織の最も顕著な違いは何でしょうか。優れた組織の3分の2が、自身のネットワークに接続されているすべてのユーザーとデバイスを可視化し制御できていると回答しているのに対して、その他の組織ではその割合はわずか20%です。
「一般的に組織の対応はプロアクティブではなくリアクティブになりがちです」とデジタルセキュリティ/トラスト/セーフティプラットフォームの提供で知られるThe Media Trust社CEOのChris Olson氏は指摘します。「関連する意思決定者は、収益の損失やネガティブな評判によって費用対効果の分析が変わるまで、現状維持で十分と考えがちです」。
明らかに大多数の組織はより積極的な姿勢を求められています。幸いなことに、Ponemon社のレポートにより、あらゆる組織に推奨される4つの重要な取り組みが判明しています。
優れた組織に学ぶ
攻撃対象領域を縮小するために必要なテクノロジーとトレーニングに投資している組織は、そうでない組織に比べて、セキュリティ体制に優れています。このような優れた組織には、以下に示す4つの共通した特徴が見受けられます。
ゼロトラストフレームワークを実装している
セキュリティ対策に優れている組織の主な差別化要因となっているのが、ゼロトラストアーキテクチャーの導入です。ゼロトラストモデルは、ネットワークがすでに侵害されている、あるいは侵害は不可避であることを前提とします。そのためゼロトラスト環境では、アクセスに成功した攻撃者がネットワーク内部を移動するのを阻止するために、ユーザーとデバイスの検証が継続的に行われます。
一例として今年初めに、ホワイトハウスの行政管理予算局が、連邦政府全体をゼロトラストモデルに移行するための戦略を発表しています。
しかしながら、その利点が明白であるにもかかわらず、ゼロトラストフレームワーク全体または一部を実装していると答えたのは、調査対象者のわずか38%にとどまります。ネットワークに接続されているすべてのユーザーとデバイスの身元を把握していると確信できているのは、回答者のわずか3分の1程度に過ぎません。
その一方、セキュリティ対策に優れている組織では、ゼロトラストを採用している割合が64%に跳ね上がります。同様に、ネットワーク内部からの脅威が最も大きな被害をもたらす可能性があると認識しているのは、セキュリティに優れた組織では56%であるのに対し、その他の組織では45%にとどまります。
攻撃が急激に増加している今日、企業はもはや従業員やその他の内部関係者を推定無罪として扱うべきではない、と多要素認証サービスを提供しているSilverfort社CEOのHed Kovetz氏は言います。「クラウド、IoT、BYODなどの普及により、企業ネットワークの物理的境界は無意味になりつつあります」とKovetz氏は指摘します。「内部関係者は信頼できると想定することはもはや不可能です。誰も信頼してはなりません」。
AIを使用してセキュリティ対応を自動化している
セキュリティ体制が成熟している組織ほど、ネットワークの保護に自動化を導入している割合が高く、その結果として大きなメリットを得ています。
セキュリティに優れた組織は、自動化による主なメリットを尋ねる質問に対して、被害を受ける前に攻撃を特定する (78%)、アナリストの貴重な時間を無駄にする偽陽性を低減する (74%)、ゼロトラストモデルを実装する (71%) を選択しています。その他の組織では、これらのメリットを選択した割合が、いずれも50~55%の範囲にとどまります。
自動化の実現に欠かせないのが、AIおよび機械学習の活用です。全回答者の半数以上が、被害を受ける前に内部からの攻撃を検知するためには、AIおよび機械学習が不可欠だと答えています。しかしながら、サイバーセキュリティにおけるAIの活用は2020年以降ほぼ横ばい状態で、少なくとも部分的に導入しているのは調査対象組織の3分の1にとどまります。
一方で明るい見通しとしては、42%の組織が将来的なサイバーセキュリティ戦略の重要な要素としてAIを導入する予定であると回答しています。
「今日のサイバーセキュリティリスクに対抗するうえで、AIはもはや必須と言っても過言ではありません」と脅威検出および対応プラットフォームを提供しているStellar Cyber社の創業者兼CTOであるAimei Wei氏は述べています。「攻撃対象領域が急拡大を続け、監視および調査すべきデータ量が急増する中、ルールベースや手動によるシステム運用ではもはや対応できません」。
IoTの脆弱性軽減に取り組んでいる
IoTデバイスのセキュリティは、依然としてIT組織の頭痛の種となっています。Miraiボットネット攻撃で実証されたように、IPカメラや空気質センサーのような単純なデバイスでさえ、インターネットの全セクターをダウンさせる武器になり得ます。
Ponemon社の調査では、回答者の4分の3近く (73%) がレガシーなIoTデバイスはセキュリティ対策がより困難であると認識しており、この数値は前回の調査から4%増加しています。
自身の組織のIoTデバイスが適切に保護されていると確信できている回答者は、4分の1以下にとどまります。また6割近くの回答者が、センサーのような単純なデバイスでさえ、組織のセキュリティにとって現実的な脅威になり得ると考えています。
この問題に関しても、セキュリティ対策に優れている組織とその他の組織の差は歴然としています。優れた組織の85%が、IoTデバイスの識別と認証がセキュリティ戦略上極めて重要であると考えており、40%が対策をすでに実装しています。一方その他の組織では、この割合がそれぞれ55%と15%にとどまります。
全体として、調査対象組織の半数以上が、エッジに存在するデバイスのセキュリティ対策として新たなソリューションが必要と考えています。
デジタルトランスフォーメーションにおけるセキュリティの重要性を理解している
セキュリティ対策に優れている組織の4分の3以上が、デジタルトランスフォーメーションの取り組みを成功へと導くうえで、セキュリティが重要なことを理解しています。これに対して、その他の組織ではこの割合が半数強にとどまります。
また全体として6割強の組織が、デジタルトランスフォーメーションの取り組みにおける最大の課題として、データ漏洩の阻止、データやアプリケーションへの不正アクセスの防止、およびデータプライバシー規制の遵守を挙げています。
HPE Pointnext Servicesのセキュリティ・リスクマネジメント担当シニアアドバイザーであるSimon Leech氏は、「デジタルトランスフォーメーションを計画している組織は、「設計段階からのセキュリティ」アプローチに従う必要があります」と述べています。「デジタルトランスフォーメーションの初期段階からセキュリティ問題に取り組むことで、無駄なコストと時間をかけることなく、効率的な脅威モデリングによりカスタマーエクスペリエンス全体のリスクを低減できます」。
この記事/コンテンツは、記載されている特定の著者によって書かれたものであり、必ずしもヒューレット・パッカード エンタープライズの見解を反映しているわけではありません。
Dan Tynan
寄稿者、Improbable Venturesのコンサルタント、22件の記事
Steve Ballmer氏に髪の毛があった頃からテクノロジーに関する著書を執筆しているDan Tynan氏は、自身を含む誰もがその大部分を思い出せないほど数多くの記事を発表してきました (同氏の記事については、Googleを調べてみてください)。同氏は最近まで、David Pogue氏が指揮を執るテクノロジーニュースサイトである、Yahoo Techの編集長を務めていました。またそれ以前は、Family Circle誌の寄稿編集者として、育児とテクノロジーの接点に関する記事を執筆していました。さらに同氏は、PC WorldとInfoWorldで寄稿編集者を務めるとともに、ITworldで多くの読者から支持された「Thank You For Not Sharing」というプライバシーに関するブログを執筆したり、幅広い出版物やWebサイトで教育と行政に関する記事や印象的な風刺記事を書いたりしてきました。
enterprise.nxt
ITプロフェッショナルの皆様へ価値あるインサイトをご提供する Enterprise.nxt へようこそ。
ハイブリッド IT、エッジコンピューティング、データセンター変革、新しいコンピューティングパラダイムに関する分析、リサーチ、実践的アドバイスを業界の第一人者からご提供します。
その他の記事を読む