自社のセキュリティ対策は他社と比べて上か下か ~ セキュリティアセスメント回答結果に基づいて | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.14(木)

自社のセキュリティ対策は他社と比べて上か下か ~ セキュリティアセスメント回答結果に基づいて

製品・サービス・業界動向 業界動向

経営者や管理職のみなさんは、自社や競合他社の情報セキュリティ対策が今どうなっているか、把握しているだろうか。IT部門任せになってはいないだろうか。

収益性の向上や競合他社との差別化など、経営上の理由からITの活用が進む一方では、セキュリティ上のリスクも高まることになる。企業秘密や顧客情報の漏洩、情報の改ざんなど、さまざまなパターンで被害をこうむることが考えられる。自社が侵害されたときの損害額の大きさや企業ブランドへの影響を考えれば、経営陣といえどもセキュリティに無関心ではいられない。

トレンドマイクロ社では2012年から無料で、セキュリティ診断を行うWebサービス「セキュリティアセスメントツール」(以下、SAツール)を提供している。サイバー攻撃対策、クラウドセキュリティ、モバイルセキュリティ、データセキュリティの4つの分野ごとに25問ずつ「はい/いいえ」で回答する設問が用意されている。回答終了後に自社の対応状況が数値化され、全診断者平均・業界平均の点数と共にグラフ表示される。

本稿では、これまで蓄積したSAツールの回答データの統計を分析し、今後のセキュリティ計画や投資方針を策定する際の判断の一助となるような、概略的な提言を行う。


● スマートデバイス

スマートフォンやタブレットといったスマートデバイスは、PCと比較すると操作が直観的で使いやすい。「複雑な部分」は隠ぺいされているからだが、その反面、企業のユーザ側・管理者側からPCほど詳細な制御は行えないようになっている。また、こうした制限によってセキュリティ対策ツールもPC版ほど機能が充実していない。他にも、社員が業務の効率化を図る目的などで、私物のスマートデバイスにデータを保存して持ち歩くなど、ユーザが認識しているかどうかに関わらず、セキュリティを低減させる要因がある。

SAツールの統計データによれば、PCやサーバよりもスマートデバイスの対策が遅れていることが示されている。さらに、各企業ではスマートデバイスに関して、具体的にどのようなセキュリティ対策を施しているのか、実施率の上位・下位の回答を見ていくと、管理者側で取れる方針策定や認証といった対策が先行しており、スマートデバイス1台1台に導入が必要なURLフィルタリングやデータ暗号化などの対策は遅れていることが分かる。

では、このように対策を取りづらいスマートデバイスを利用するにあたって、セキュリティ対策はどのようにしたらよいのだろうか?何はともあれ、使用のメリット・デメリットを明確にする必要がある。SAツールの「スマートフォンやタブレットを利用するにあたってのメリット・デメリットが明確になっている」という設問に対し「はい」と回答したのは全体平均では49.7%だが、役職別では「役員クラス」70.4%、「本部長・部長クラス」34.6%と大きく乖離している。ここから、費用対効果といったビジネス面での評価はなされていても、実運用上・セキュリティ上の視点が疎かになっている様子が透けて見える。さらに、使用範囲(場所や部門)を規定するなどして、きめ細かく導入する場面を決めるとよいだろう。

● ユーザ教育

特定の組織を標的としたAPT攻撃(Advanced Persistent Threat attack、持続的標的型攻撃)は、所属スタッフの誤った操作を誘うようなメールを送り付けるなどして始まる。このような、ユーザの隙を突くソーシャル・ハッキングという攻撃形態には、高度な技術を必要とせず、効果も高いことから多用されている。最大のセキュリティ・ホールは人間であり、また対抗手段としてはユーザ教育ということが言われて久しい。

一方SAツールの回答結果からは、効果が高いとされる教育やポリシーの周知といった対策に力が入れられていないことがうかがえる。中でもSNS(Social Networking Service)、スマートフォンやタブレット、クラウドサービス、APT攻撃といった比較的新しいキーワードが絡むものについて、遅れが目立つ。

対応策としてはユーザ教育しかない。ユーザの誤った対応によりセキュリティが侵害される機会の多さや、ユーザ教育の効果の高さについて正しく認識し、ユーザ教育を実施することをお勧めする。

● セキュリティ対策全般

ITは常に進化している。手元の端末としてスマートフォンが登場し、SNSという新しいサービスが活況を呈している。インフラとしてはクラウドサービスの利用が進んでいる。その一方で、APT攻撃など攻撃者が用いる手法も発展している。

対して、企業などの組織が取っているセキュリティ対策はどうなっているだろうか。SAツールの回答で対策が進んでいるものの上位には、従来から言われており、対応するツール・製品・サービスが充実しているものが並んだ。翻って下位には、新しい概念のものが挙がっている。

セキュリティ対策が進めば攻撃者は新たな手法を考え出し、対抗して企業側ではさらに対策の高度化を進める、といういたちごっこは続く。新しい攻撃には新しい対策が必要だ。また、新しい通信環境が登場した場合には、同時に新たなセキュリティ対策を施す必要がある。
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. イスラエルのサイバー防衛たてつけ~視察団報告

    イスラエルのサイバー防衛たてつけ~視察団報告

  2. 次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

    次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

  3. シミュレーションゲーム「データセンターアタック」(トレンドマイクロ)

    シミュレーションゲーム「データセンターアタック」(トレンドマイクロ)

  4. 自分の利用しているサーバの状況を確認する方法 不正中継確認

  5. サイバーセキュリティ経営ガイドライン改訂、経営者が指示すべき10項目見直しや事後対策取組など(経済産業省)

  6. ダークウェブからAIで情報収集(DTRS、IISEC)

  7. 2020大会関係者向け疑似サイバー攻撃演習、システムを忠実に再現(NICT)

  8. EDRとSOCを連携させた標的型攻撃対策サービスを提供(TIS)

  9. 学校の自殺予防体制、情報セキュリティ技術活用

  10. IoT製品や組み込み機器などの脆弱性をハッカー視点で診断するラボを開設(PwCサイバーサービス)

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×