そろそろ平成も終わりが見えてきましたね。皆様令和対応でお忙しいところでしょうか?
今回は「世界で68%の企業がサイバー攻撃被害を経験」というニュースを取り上げます。
興味深い内容でしたので、興味がある方は読んでいってくれると幸いです。
ニュースの概要
12カ国を対象に組織内のネットワークやエンドポイントで被害を検出した企業の割合を調べたところ、日本が突出して低い結果となった。
同社が2018年12月から2019年1月にかけて日本と米国を含む12カ国の中堅企業に勤務する3100人以上のIT意思決定者を対象に調査を実施し、結果を取りまとめたもの。
68%の企業が2018年にネットワークやエンドポイントでなんらかの被害を検出した。従業員数1001人から5000人の大企業では73%、100人から1000人の小規模企業では63%だった。
参考:http://www.security-next.com/104343
上記についてかなり気になったので、元となったソフォス社のレポートを探してきました。
・7つの気になる真実-エンドポイントセキュリティ(ソフォス社)
記載内容には以下の内容が記載されていました。(レポート内容から引用)
※上記の「このような差異」というのは日本の割合が少なくて他国の割合が多く、差異があることを指していると解釈しています。
このニュースについて思うこと
まずは、被害の割合が日本だけ低いことの理由としては、攻撃の量が少ないのではなく、被害に気付いていないのではないのか?ということです。
レポート内容では「3分の2以上 (68%) の企業が、昨年サイバー攻撃を受けた」と記載があります。
このレポートでのサイバー攻撃の定義は分かりませんが一般的には、ばらまき型の標的型攻撃メール等もサイバー攻撃に含まれると私は考えています。
その場合、ばらまき型の標的型攻撃メールが年間一度も来ていない企業というのは滅多にないのではないでしょうか?
また、会社のホームページ等を公開している会社では色々なIPからのサーバへの攻撃であったり、Webコンテンツに対する攻撃(niktoやファジングツール等を使用)はかなり頻繁に発生します。
どういった企業を選定して回答してもらったかは定かではありませんが、24%は少なすぎな気がしています。
対象となった人の属性については「ITの意思決定者」とありますが、おそらく日本の場合はその人物が会社の実態をちゃんと把握できていないのではないでしょうか。(インシデントが発生した際にしか報告が上がってこない等)
個人的にはシステム全般を完全に理解しておく必要はありませんが、セキュリティの脅威については経営者やマネジメント層がしっかりと把握しておく必要があると考えています。
日本がセキュリティについては遅れていると言われるのもこういった状態から感じることができますね。
最後に
そろそろGWの時期ですね。(今日は2019/04/23)
今年のGWは10連休ととても長い休みが続きますので、海外等へ出かける人も多いのではないでしょうか?
私はISMS関係の書類の整備で結構ワタワタしていますので、もしかしたらそちらの仕事をしているかもしれません・・・そうならないように頑張ります。
長期休みの際に攻撃を受けたり、セキュリティアップデートに対応できなくてそこを突かれてしまうといった事態はよく聞く話です。
自分たちの組織持ち物はしっかりと管理し、安全な状態を保つようにしましょう。(ちょっとISMSっぽいですね。)
不明点や要望やこういったこともやって欲しいとの要望があれば、お問い合わせページやコメント、ツイッターからでも結構ですので、気軽にご連絡ください。
コメント