自社のセキュリティ対策は他社と比べて上か下か ~ セキュリティアセスメント回答結果に基づいて | ScanNetSecurity
2024.04.16(火)
コンテンツ
注目検索ワード
ホーム 製品・サービス・業界動向 業界動向 記事

自社のセキュリティ対策は他社と比べて上か下か ~ セキュリティアセスメント回答結果に基づいて

本稿では、これまで蓄積したSAツールの回答データの統計を提示、分析し、今後のセキュリティ計画や投資方針を策定する際の判断の一助となるような、概略的な提言を行う。

製品・サービス・業界動向 業界動向
経営者や管理職のみなさんは、自社や競合他社の情報セキュリティ対策が今どうなっているか、把握しているだろうか。IT部門任せになってはいないだろうか。

収益性の向上や競合他社との差別化など、経営上の理由からITの活用が進む一方では、セキュリティ上のリスクも高まることになる。企業秘密や顧客情報の漏洩、情報の改ざんなど、さまざまなパターンで被害をこうむることが考えられる。自社が侵害されたときの損害額の大きさや企業ブランドへの影響を考えれば、経営陣といえどもセキュリティに無関心ではいられない。

トレンドマイクロ社では2012年から無料で、セキュリティ診断を行うWebサービス「セキュリティアセスメントツール」(以下、SAツール)を提供している。サイバー攻撃対策、クラウドセキュリティ、モバイルセキュリティ、データセキュリティの4つの分野ごとに25問ずつ「はい/いいえ」で回答する設問が用意されている。回答終了後に自社の対応状況が数値化され、全診断者平均・業界平均の点数と共にグラフ表示される。

本稿では、これまで蓄積したSAツールの回答データの統計を分析し、今後のセキュリティ計画や投資方針を策定する際の判断の一助となるような、概略的な提言を行う。


● スマートデバイス

スマートフォンやタブレットといったスマートデバイスは、PCと比較すると操作が直観的で使いやすい。「複雑な部分」は隠ぺいされているからだが、その反面、企業のユーザ側・管理者側からPCほど詳細な制御は行えないようになっている。また、こうした制限によってセキュリティ対策ツールもPC版ほど機能が充実していない。他にも、社員が業務の効率化を図る目的などで、私物のスマートデバイスにデータを保存して持ち歩くなど、ユーザが認識しているかどうかに関わらず、セキュリティを低減させる要因がある。

SAツールの統計データによれば、PCやサーバよりもスマートデバイスの対策が遅れていることが示されている。さらに、各企業ではスマートデバイスに関して、具体的にどのようなセキュリティ対策を施しているのか、実施率の上位・下位の回答を見ていくと、管理者側で取れる方針策定や認証といった対策が先行しており、スマートデバイス1台1台に導入が必要なURLフィルタリングやデータ暗号化などの対策は遅れていることが分かる。

では、このように対策を取りづらいスマートデバイスを利用するにあたって、セキュリティ対策はどのようにしたらよいのだろうか?何はともあれ、使用のメリット・デメリットを明確にする必要がある。SAツールの「スマートフォンやタブレットを利用するにあたってのメリット・デメリットが明確になっている」という設問に対し「はい」と回答したのは全体平均では49.7%だが、役職別では「役員クラス」70.4%、「本部長・部長クラス」34.6%と大きく乖離している。ここから、費用対効果といったビジネス面での評価はなされていても、実運用上・セキュリティ上の視点が疎かになっている様子が透けて見える。さらに、使用範囲(場所や部門)を規定するなどして、きめ細かく導入する場面を決めるとよいだろう。

● ユーザ教育

特定の組織を標的としたAPT攻撃(Advanced Persistent Threat attack、持続的標的型攻撃)は、所属スタッフの誤った操作を誘うようなメールを送り付けるなどして始まる。このような、ユーザの隙を突くソーシャル・ハッキングという攻撃形態には、高度な技術を必要とせず、効果も高いことから多用されている。最大のセキュリティ・ホールは人間であり、また対抗手段としてはユーザ教育ということが言われて久しい。

一方SAツールの回答結果からは、効果が高いとされる教育やポリシーの周知といった対策に力が入れられていないことがうかがえる。中でもSNS(Social Networking Service)、スマートフォンやタブレット、クラウドサービス、APT攻撃といった比較的新しいキーワードが絡むものについて、遅れが目立つ。

対応策としてはユーザ教育しかない。ユーザの誤った対応によりセキュリティが侵害される機会の多さや、ユーザ教育の効果の高さについて正しく認識し、ユーザ教育を実施することをお勧めする。

● セキュリティ対策全般

ITは常に進化している。手元の端末としてスマートフォンが登場し、SNSという新しいサービスが活況を呈している。インフラとしてはクラウドサービスの利用が進んでいる。その一方で、APT攻撃など攻撃者が用いる手法も発展している。

対して、企業などの組織が取っているセキュリティ対策はどうなっているだろうか。SAツールの回答で対策が進んでいるものの上位には、従来から言われており、対応するツール・製品・サービスが充実しているものが並んだ。翻って下位には、新しい概念のものが挙がっている。

セキュリティ対策が進めば攻撃者は新たな手法を考え出し、対抗して企業側ではさらに対策の高度化を進める、といういたちごっこは続く。新しい攻撃には新しい対策が必要だ。また、新しい通信環境が登場した場合には、同時に新たなセキュリティ対策を施す必要がある。
《ScanNetSecurity》

ソース・関連リンク

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

OpenSSLにサービス運用妨害(DoS)の脆弱性 画像

OpenSSLにサービス運用妨害(DoS)の脆弱性
マイクロソフトが 4 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 1 件 画像

マイクロソフトが 4 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 1 件
a-blog cms に複数の脆弱性 画像

a-blog cms に複数の脆弱性
複数の HTTP/2 実装に CONTINUATION フレームの取り扱い不備 画像

複数の HTTP/2 実装に CONTINUATION フレームの取り扱い不備
WordPress 用プラグイン Ninja Forms に複数の脆弱性 画像

WordPress 用プラグイン Ninja Forms に複数の脆弱性
AI アプリ標的 ゼロクリックワーム開発/北 韓国半導体企業へ攻撃/米司法省 APT31 メンバー訴追 ほか [Scan PREMIUM Monthly Executive Summary 2024年3月度] 画像

AI アプリ標的 ゼロクリックワーム開発/北 韓国半導体企業へ攻撃/米司法省 APT31 メンバー訴追 ほか [Scan PREMIUM Monthly Executive Summary 2024年3月度]

インシデント・事故 記事一覧へ

転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し 画像

転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し
東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性 画像

東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性
チラシ記載の QR コードを誤って管理者用 URL から作成、申込者の個人情報が閲覧可能に 画像

チラシ記載の QR コードを誤って管理者用 URL から作成、申込者の個人情報が閲覧可能に
委託事業者が回収処理した国民健康保険証、拾得物として警察署に届く 画像

委託事業者が回収処理した国民健康保険証、拾得物として警察署に届く
「落ちていたので」と手紙が届く ~ 中学校の教育相談アンケート票を紛失 画像

「落ちていたので」と手紙が届く ~ 中学校の教育相談アンケート票を紛失
日水コン コーポレートサイトに不正アクセス、個人情報一部流出の可能性 画像

日水コン コーポレートサイトに不正アクセス、個人情報一部流出の可能性

調査・レポート・白書・ガイドライン 記事一覧へ

プルーフポイント、マルウェア配布する YouTube チャンネル特定 画像

プルーフポイント、マルウェア配布する YouTube チャンネル特定
IT部門か全員かそれとも政府か ~ サイバー攻撃から守る責任は誰にある? KnowBe4 調査 画像

IT部門か全員かそれとも政府か ~ サイバー攻撃から守る責任は誰にある? KnowBe4 調査
初動対応者同士の情報共有が不可欠 ランサムウェア攻撃への対応 画像

初動対応者同士の情報共有が不可欠 ランサムウェア攻撃への対応
復旧失敗確率 3 分の 2、ランサムウェア身代金支払い ~ JIPDEC、ITR 調査 画像

復旧失敗確率 3 分の 2、ランサムウェア身代金支払い ~ JIPDEC、ITR 調査
日本のセキュリティ人材の 74 %、2023年に昇給なし 画像

日本のセキュリティ人材の 74 %、2023年に昇給なし
炎上件数最多は知識や配慮不足「2023年炎上レポート」公開 画像

炎上件数最多は知識や配慮不足「2023年炎上レポート」公開

研修・セミナー・カンファレンス 記事一覧へ

韓国の 2024年 セキュリティ市場規模 8,000 億円見込 ~ SECON & eGISEC 2024 開催 画像

韓国の 2024年 セキュリティ市場規模 8,000 億円見込 ~ SECON & eGISEC 2024 開催
エーアイセキュリティラボ、脆弱性診断の自動化・内製化のための無料ツールと AI 活用解説 4/18 セミナー開催 画像

エーアイセキュリティラボ、脆弱性診断の自動化・内製化のための無料ツールと AI 活用解説 4/18 セミナー開催
中高生サイバーセキュリティ競技会「CyberSakura」第3回、京都府立嵯峨野高等学校 チーム「HEXAGON」優勝 画像

中高生サイバーセキュリティ競技会「CyberSakura」第3回、京都府立嵯峨野高等学校 チーム「HEXAGON」優勝
「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート 画像

「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート
「イエラエが、今、SOCサービスを始める意義」とは? 「IERAE DAYS」トークセッションレポート公開 画像

「イエラエが、今、SOCサービスを始める意義」とは? 「IERAE DAYS」トークセッションレポート公開
警察庁、総務省それぞれの最新の取り組みは? 官民連携、国際連携を通してより安全なサイバー空間の実現を ~ JPAAWG 6th General Meeting レポート 画像

警察庁、総務省それぞれの最新の取り組みは? 官民連携、国際連携を通してより安全なサイバー空間の実現を ~ JPAAWG 6th General Meeting レポート

製品・サービス・業界動向 記事一覧へ

警察庁、サイバー事案通報の統一窓口を設置 画像

警察庁、サイバー事案通報の統一窓口を設置
脆弱性診断自動化ツール「AeyeScan」にシングルサインオン機能、大規模ユーザーにも対応 画像

脆弱性診断自動化ツール「AeyeScan」にシングルサインオン機能、大規模ユーザーにも対応
ALSI、国産脅威インテリジェンスサービス「InterSafe Threat Intelligence Platform」提供 画像

ALSI、国産脅威インテリジェンスサービス「InterSafe Threat Intelligence Platform」提供
デロイトと JFEスチール、サイバーセキュリティの合弁会社設立 画像

デロイトと JFEスチール、サイバーセキュリティの合弁会社設立
BBSec、地方公共団体のセキュリティ課題に対応するアセスメントサービス 画像

BBSec、地方公共団体のセキュリティ課題に対応するアセスメントサービス
「GMOサイバー攻撃 ネットde診断」FortiGate に対応 画像

「GMOサイバー攻撃 ネットde診断」FortiGate に対応

おしらせ 記事一覧へ

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です) 画像

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です)
人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典] 画像

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典]
Scan PREMIUM 創刊25周年記念キャンペーン実施中 画像

Scan PREMIUM 創刊25周年記念キャンペーン実施中
ScanNetSecurity 創刊25周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊25周年御礼の辞(上野宣)
小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄 画像

小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄
「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ 画像

「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×