企業セキュリティの実情

認知しなければ分からないサイバー脅威とセキュリティ概念

攻撃発生から認知に要した日数

攻撃発生から認知に要した日数について、調査企業より各種レポートが発行されておりますが、M-Treand2022レポートによると認知までに要した日数は、全世界の中央値で24日、アジア・パシフィック地域（APAC）では中央値で76日となっています。
中央値にてレポートされている理由としては、特定の企業が例外的に長い期間を要しており、平均値によるレポートでは正しい判断が出来ない為です。
なお長期間発覚しなかったケースでは、1年以上発覚しない、といった状況もありました。
攻撃後長期間潜伏されたまま情報漏えいが続き、外部から指摘された時点ではすでに甚大な被害が生じている、といったことも想定されます。

サイバー攻撃のライフサイクル

攻撃発生から認知に要した日数が中央値でAPACにて76日となっておりますが、その期間で攻撃者はどのように企業内で暗躍しているのでしょうか。
以下の図は内部侵入を起点として、企業システムの内部で重要な情報を盗み出すサイクルを示したものです。
一旦内部に拠点を確保してしまうと、そこから権限を拡大させ、内部で重要な情報を探りあて、そして情報の流出を繰り返すことになります。
さらには権限をシステム管理者と同等まで引き上げて暗躍することもあり、企業の管理者も気付くことが出来ない状態が続くことになります。
内部で検出することが出来ない結果、外部等より指摘されるまでの期間にシステム内部で重要な情報を探られてしまい、大切な情報を盗み出されてしまいます。その後に気が付いたときにはすでに遅く、被害を拡大させてしまいます。

サイバー攻撃の実例

サイバー攻撃はインターネットの技術革新と共に変貌を続けており、1980年代にはウイルスやワーム、2000年代以降はフィッシングやランサムによる攻撃が発生しています。また2022年には自動車メーカのサプライチェーンが攻撃を受けて生産ラインが停止するなど、大きな被害が知られています。
またECサイトへの攻撃や脆弱性を突かれた攻撃により被害も発生しており、WAFを導入していれば避けられた例も発生しています。
下図はWebサイトを狙った攻撃の例ですが、アプリケーションやソフトウエアの脆弱性を完全に解消することは難しく、またヒューマンエラーによる設定不足・設定ミスを完全に無くすことは困難です。

情報セキュリティにおける企業側の悩み

ネットワークの拡大やクラウドインフラへのシフト、あるいは直接的なサイバー攻撃を受け被害が生じたことによって、各種セキュリティ対策を施す企業は従来より増加しております。

但し企業活動として考えた場合、セキュリティ対策は利益を生み出す企業活動では無いために効果が見えづらく、対策する場合においても、セキュリティレベルや対策内容について、必要な機能に対する理解が不足しているケースもあります。
つまりセキュリティ対策を導入しようとしても、何に重点をおくべきなのかの情報が無く、逆にすべてを網羅しようとしてあらゆる対策を盛り込むことで、膨大な費用負担に翻弄され、結局対策に踏み切れないジレンマが発生している企業もあります。

このようにセキュリティ対策の複雑さや、サイバー攻撃の高度化による対策の困難さ、また対策そのものの費用対効果が見えない等の課題がある一方で、企業内における専門家が不在であるという現実は、情報セキュリティの対策を講じていく中で最も妨げになっています。
専門家が不在であっても、サイバー攻撃は手を緩めることなく続いており、複雑化、巧妙化する傾向は強まることが想定され、早期に手を打つ必要があります。

Cloudbric WAF+を詳しく知りたい
（次のページへ）