Splunkは、調査レポート「2023年のセキュリティの現状」を発表しました。今回の調査では、「脅威への対応が追いつかない」と回答した割合が減少するという、驚きの結果となりました。しかし、喜ぶのは早計です。ここではレポートの内容を読み解いていきます。
セキュリティにおける課題が減少するも、いまだ半数以上
調査レポート「2023年のセキュリティの現状」は、世界10カ国、15の業界において、勤務時間の半分以上をセキュリティ業務に費やしているセキュリティリーダーを対象に調査したもので、回答者数は1,520名(日本:156名)となっています。こうした調査では、セキュリティにおける課題が増加傾向にあることが一般的ですが、今回は昨年度の調査結果よりも減少していました。
この理由は、大きく2つ考えられます。一つは、多くの組織でインシデントレスポンスへの対応が改善していること。もう一つは、昨年度の同レポートにあったSolarWinds攻撃やLog4jの脆弱性などの、世界で1万社以上が影響を受けたような脅威に匹敵する問題がなかったことです。レポートでは、「タイタニックを沈めるほどの氷山は現れなかった」と表現しています。
ただし、例えば「セキュリティ要件を満たすのが2年前よりも難しくなっている」との回答が前年の66%から今回は53%へと減ったものの、いまだに半数以上が課題を抱えています。
サイバーセキュリティの主な課題として挙がったのは、「緊急事態への対応に多くの時間を取られる」(31%)、「規制要件への対応に手一杯で、セキュリティのベストプラクティスの導入まで手が回らない」(27%)、「互いに連携しないポイント型のセキュリティツールが多すぎる」(26%)でした。
この結果から、セキュリティ問題が起きた後の原因究明をいかに短縮するか、いかに迅速に元の状態へ戻すのか。この二つが非常に重要と考えられます。Splunkでは、これらをまとめて「レジリエンス(復元力)」と呼んでいます。
調査結果では、「レジリエンスへの正式なアプローチがある」と回答した組織は31%、「レジリエンス戦略を策定中」と回答したのは38%、「レジリエンス戦略を策定していない」と回答したのは31%でした。全体の69%は何らかの形でレジリエンスに取り組んでいることが明らかになっています。
重要課題は、クラウド、レジリエンス、コラボレーション
調査結果から、最重要課題が「クラウド」「レジリエンス」「コラボレーション」であることも分かりました。クラウドに関しては、すでに回答者の53%が「ビジネスクリティカルなアプリケーションやワークロードの大半をクラウドで実行している」と回答しており、パブリッククラウドがメイン環境となりつつあります。
クラウドにおけるセキュリティ課題には、「データセンターとパブリッククラウド環境でセキュリティの一貫性を維持」(33%)、「アイデンティティ・アクセス管理(IAM)システムを正確かつ最新に保つ」(32%)、「複数のサイバーセキュリティコントロールを使用することによるコストと複雑さの増大」(28%)が挙がっています。
レジリエンスについては、レジリエンスに取り組まない場合、83%が「大規模なビジネス中断のリスクが高まる」、79%が「生産性が低下しイノベーションが阻害されるリスクが生まれる」、78%が「ダウンタイムがカスタマーエクスペリエンスに影響を与え、顧客離れにつながる可能性がある」と回答しています。レジリエンスの欠如は喫緊の脅威となるという認識が高いことが分かりました。
ビジネスリーダーがサイバーセキュティ対策の効果を把握するための指標として、MTTD(平均検出時間)やMTTR(平均復旧時間)などのセキュリティ対応の効率に関する指標(34%)や、サイバーリスクの定量化・緩和に関する指標(30%)が用いられています。
特にコラボレーションは重要です。セキュリティリーダーがビジネス戦略に関わるようになり、46%が「ビジネス部門とのコラボレーションが加速した」と回答し、その結果42%が「セキュリティチームへの予算が増えた」と回答しています。
コラボレーションについては、回答者の25%が「CISOと経営陣や取締役会とのミーティングの頻度を増やしている」と回答しています。また、91%が「レジリエンス向上への取り組みにおいて、CISOが他のリーダーとコラボレーションしている」と回答しています。一方で、組織レベルで定められたアプローチがあると回答した割合は3分の1以下でした。
インシデントと脅威の状況
インシデントと脅威ベクトルについては、「インシデントは発生したが、大きな被害はなかった」と回答した組織はわずか4%でした、つまり、96%の組織は何らかのインシデントが発生した際に、原因究明、対応から復旧に多くの時間とリソースを消費するだけでなく、機密データ漏えい、データ侵害、組織の競争力低下、株価・企業価値の低下など経営にとっても大きな課題となっていることが分かります。また、攻撃者が組織に侵入した後の平均潜伏期間は2.24ヶ月間、9週間に及びました。この間、誰も気づくことができなかったわけです。
具体的な脅威としては、ランサムウェアが引き続き大きな脅威となっています。「ランサムウェア攻撃を受けたことがない」と回答した組織は13%にとどまっており、この割合は昨年度の21%からさらに減少しています。しかし、データやシステムにアクセスできなくなったと回答した組織は35%から43%に増加しています。その結果、組織(保険会社を含む)が“身代金”を支払った割合は75%と、前年度の66%から増加しています。
要求された身代金の最大額が「25万ドル以上(日本円で3,375万円以上、1ドル135円換算)」と回答した組織は、昨年度の32%から50%と大幅に増加しました。組織が支払った身代金の最大額の平均は日本円で、約5,600万円と、昨年度の約4,400万円から増加しています。「最大額の平均」は、それだけランサムウェア攻撃の被害を複数回受けている組織が多いことを意味しています。
サプライチェーンの問題に関しては、SolarWindsやLog4j、Kaseyaといったソフトウェアによるサプライチェーン攻撃対策を強化している組織は95%と、前年度の90%を上回っています。ソフトウェアを開発する際に、いくつかの機能は公開されているオープンソースのライブラリを使用することが一般的です。しかし、こうしたライブラリに不正なコードが含まれている可能性があるわけです。
日本における調査結果と取り組むべきこと
今回の調査から日本の回答を抜粋すると、日本の回答者の35%が、ランサムウェア対策を今後1年間に重視する取り組みのトップ3に挙げています。世界平均は27%ですので、日本でも多くの組織がランサムウェア攻撃対策を重視していることが分かります。過去2年間でランサムウェア攻撃の被害に遭ったという回答は40%を占めました(世界平均は50%)。
また、全世界の平均と比較すると、セキュリティ対策の優先順位が異なっている部分も見受けられました。例えば、「サイバーレジリエンスに対する正式なアプローチを導入している」と回答した割合は23%(世界平均は31%)でした。レジリエンスに関するテクノロジーへの投資においても、「可視性の向上」「顧客サービスやユーザーサービスの迅速な復旧」は世界と比較して低い水準になりました。
サプライチェーン攻撃のリスク軽減対策では、「CISOがビジネス部門のリーダーと話し合う機会が増えた」と回答した割合は15%(世界平均は25%)、「ベンダーリスク管理のポリシーを見直した」は16%(同:23%)と、いずれも世界平均を下回りました。
サイバーレジリエンスの高い組織を構築するためには、セキュリティチームがイネーブラー(支援者)として認められていることが重要であると考えられます。調査結果においても、セキュリティチームを支援者とみなしている組織は、支援者とみなしていない組織と比較し、「サイバーリスクの特定」「脅威検出の強化」「調査の迅速化」「修復の自動化」の実施率が高いことが明らかとなりました。
この傾向は、レジリエンス向上のための投資や、部門横断的なコラボレーションの促進、基本対策の徹底、パブリッククラウドの可視化の重要性の認識などにも見られました。特に、「ランサムウェア攻撃対策への投資を増やす」、「サプライチェーンの脅威に対してセキュリティチームが組織のリーダーと協力する」の各項目において、両者は倍近い差が出ています。
こうした結果から、Splunkでは日本の企業が取り組むべきこととして次の3点を提案しています。
1:ツールやチームのサイロ化を解消し、横断的な可視化を実現する
イネーブラー(支援者)として認められているセキュリティチームは、関連する「すべて」の領域(IT運用、アプリケーション開発、オブザーバビリティ、デジタルエクスペリエンス)の担当部門とコラボレーションし、テクノロジー環境全体の可視化に努めています。このように、セキュリティ運用に関する包括的なアプローチを確立することで、ツールやデータのサイロ化の問題を解消し、組織における本質的なレジリエンスを実現することができるのです。
2:セキュリティ分析の人材確保や育成
長年の人材不足は今もなお深刻な状況ですが、昨今、多くの組織が人材不足を補うために、ツールの統合や積極的な自動化の導入、組織横断的なデータ活用を通じたチームの生産性向上に取り組んでいます。また、組織は、内部人材の育成に併せて、サードパーティーのマネージドセキュリティサービスプロバイダー(MSSP)などを適切に活用することで、セキュリティ環境の安定化に注力していく必要があります。
3:リーダーシップ(1及び2を推進するための強いコミットメントと判断)
イネーブラー(支援者)としての存在価値が高い組織であっても、セキュリティレジリエンス向上のための投資計画を立てていなければ、成長することは難しいでしょう。したがって、各部門リーダーや経営幹部と連携し、さまざまな施策を推進していく上での環境を整えることが重要です。
