• グローバル調査により、50以上のセキュリティー・ツールを使用していると、セキュリティー対応の効果が低下することが判明
• 多くの組織には、一般的な攻撃や新たに出現するサイバー攻撃に対する具体的な対応計画がない

[米国マサチューセッツ州ケンブリッジ - 2020年6月30日（現地時間）発] – IBM Security は、サイバー攻撃への対応と準備における企業の有効性を検証した年次発行のサイバー・レジリエンス調査の結果を発表しました。組織は過去5年間にわたってサイバー攻撃に備え、検出し、対応する能力を少しずつ改善してきましたが、この期間に攻撃を阻止する能力は13%低下しました。IBM Security の支援で Ponemon Institute によって実施されたグローバル調査によると、セキュリティー対応の取り組みは、多すぎるセキュリティー・ツールの使用と、一般的な攻撃タイプに対する具体的な対応マニュアルの欠如によって妨げられていることが判明しました。

セキュリティー対応計画は少しずつ改善している一方で、ほとんどの組織（74%）は、その計画がその場しのぎであるか、一貫して適用されていないか、またはまったく計画がないことを依然として報告しています。この計画の欠如は、セキュリティー・インシデントのコストに著しい影響を及ぼす可能性があります。インシデント対応チームを持ち、インシデント対応計画を徹底的に検証している企業は、両方の取り組みのコストを削減している企業よりも、データ侵害に対する支出額が平均120万ドル少なくなっています。¹

第5回目となる年次のサイバー・レジリエンス・レポート（Cyber Resilient Organization Report）の主要な調査結果を以下に示します。

• 漸進的な改善：過去5年間にわたって、正式な企業全体のセキュリティー対応計画を採用した組織が増加し、2015年には回答者の18%でしたが、今年のレポートでは26%に上昇しました（44%の改善）。
• 対応マニュアルの必要性：正式なセキュリティー対応計画がある組織の中でも、一般的な攻撃タイプに対して具体的な対応マニュアルを策定した組織は3分の1（回答者全体の17%）にすぎず、ランサムウェアなどの新たに出現する攻撃手法に対する計画は、さらに遅れています。
• 対応を妨げている複雑性：組織が使用しているセキュリティー・ツールの量が、脅威ライフサイクルの複数のカテゴリーにわたってマイナスの影響を及ぼしていました。50以上のセキュリティー・ツールを使用している組織は、ツールが比較的少ない組織に比べて、検出能力が8%低く、攻撃への対応能力が7%低くなっていました。
• 計画が優れているほど被害が減少：企業全体に適用される正式なセキュリティー対応計画を有する企業は、サイバー攻撃の結果として重大な被害を受ける確率がはるかに低くなります。過去2年間にわたって、このような企業で破壊的なセキュリティー・インシデントが生じたのはわずか39%だったのに対して、正式な/一貫した計画が不十分な企業では62%でした。²

IBM X-Force脅威インテリジェンス担当バイスプレジデント、ウェンディ・ホイットモア（Wendi Whitmore）は、次のように述べています。「インシデント対応計画を重視している組織が増加していますが、サイバー攻撃への準備は1回限りの活動ではありません。組織は、定期的に対応計画の検証、演習、再評価にも注力しなければなりません。相互運用性のあるテクノロジーと自動化を活用することも、複雑性の課題を克服し、インシデントを封じ込めるためにかかる時間を短縮する助けとなります。」

新たに出現する脅威に対して対応マニュアルを更新する

この調査では、正式なサイバー・セキュリティー・インシデント対応計画（CSIRP）がある組織の中でも、特定のタイプの攻撃に対して対応マニュアルを作成している組織は33%にすぎないことが判明しました。攻撃の種類ごとに固有な対応技法が必要になるため、対応マニュアルを事前に定義することにより、直面する可能性が高い特に一般的な攻撃に対して、一貫した反復可能な行動計画が組織にもたらされます。

攻撃に固有な対応マニュアルを持つ少数の組織の中で、最も一般的な攻撃はDDoS攻撃（64%）とマルウェア（57%）を対象としています。これらの攻撃手法は従来企業にとって上位課題でしたが、ランサムウェアなどの新たな攻撃手法が増加しています。ランサムウェア攻撃は近年70%近く急増しましたが 、対応マニュアルを採用している企業の中で、ランサムウェア攻撃に対する所定の計画があるのは45%にすぎませんでした。

また、セキュリティー対応計画を有する企業の半分以上（52%）は、その計画を見直したことがないか、見直し/検証のための期間を設定していないと回答しました。リモートワークの急激な増加によりビジネスの運営が大きく変化するなか、新たな攻撃技法が常に発生しています。このデータは、多くの企業が、現在の脅威環境とビジネスの状況を反映していない時代遅れの対応計画を利用している可能性があることを示しています。

ツールが多いほど対応能力が低下する

このレポートは、複雑性がインシデント対応能力にマイナスの影響を及ぼしていることも明らかにしました。調査対象者は、自社が平均45を超える異なるセキュリティー・ツールを使用しており、対応するインシデントごとに平均約19のツール間の調整が必要になると推定しました。しかし、この調査では、過度なツールの使用が攻撃に対応する組織の能力を実際に妨げている可能性があることも判明しました。この調査において、50を超えるツールを使用している組織では、攻撃を検出する能力が8%低く（5.83/10対6.66/10）、攻撃に対応する能力は約7%低くなっていました（5.95/10対6.72/10）。

このような調査結果は、多数のツールを採用することによって、セキュリティー対応への取り組みが必ずしも改善せず、実際にはその逆である可能性があることを示しています。相互運用性のあるオープンなプラットフォームと自動化テクノロジーの利用することで、連携されていないツール間での対応で生じる複雑性を減らすことが可能となります。このレポートでハイ・パフォーマーと評価された組織の63%は、相互運用性のあるツールの利用がサイバー攻撃への対応を改善するために役立ったと回答しました。

計画の改善によって効果が生じる

今年のレポートでは、正式な計画に投資する組織の方が適切にインシデントに対応できていることが明確に示されました。過去2年間に組織への重大な被害につながるインシデントを経験したのは、正式な計画を導入していない企業では62%であったのに対して、全社的に一貫してCSIRPを適用している企業では39%にすぎませんでした。

攻撃に対応する能力について組織が言及した具体的な要因を検討すると、セキュリティー担当者のスキルが上位を占めていることが明らかになりました。調査対象者の61%は、回復力を高めるための上位の要因として、スキルのある従業員の雇用を挙げました。一方で自社の回復力が改善しなかったと答えた人のうち41%が上位の要因としてスキルのある従業員の不足を指摘しました。

テクノロジー（特に複雑性の解決に役立つツール）は、組織がサイバー攻撃に対する回復力を高めるために役立ったもう1つの差別化要因でした。サイバー攻撃に対する回復力が比較的高い組織を調べると、サイバー攻撃に対する回復力の改善のために言及された上位2つの要因は、アプリケーションおよびデータに対する可視性（57%が選択）と自動化ツール（55%が選択）でした。全体として、調査データは、対応のための備えが成熟している組織ほど、回復力を高めるために革新的なテクノロジーの利用が進んでいることを示しています。

調査レポートと解説Webセミナーについて

「サイバー・レジリエンス・レポート2020年版」をご覧になる場合は、こちらからレポート全体をダウンロードすることができます。

また、本レポートの内容を日本語で解説するWeb セミナーを2020年8月5日（水）14時（日本時間）より開催します。こちらからご登録してご参加ください。

この調査について
Ponemon Instituteが実施し、IBM Securityが出資したサイバー・レジリエンス・レポート2020年版は、サイバー攻撃に適切に備え、対応する組織の能力に関する5回目の調査です。この調査は、米国、インド、ドイツ、英国、ブラジル、日本、オーストラリア、フランス、カナダ、ASEAN、中東を含む世界中の3,400人を超えるセキュリティーとITの専門家の洞察を示しています。

IBM Security について

IBM Security は、エンタープライズ・セキュリティー製品およびサービスを統合した最新のポートフォリオを提供しています。このポートフォリオは、世界的に有名なIBM X-Force^®リサーチのサポートを受けており、企業が効果的にリスクを管理し、新たに出現する脅威を防ぐことができるようにしています。IBMでは、世界最大規模のセキュリティー研究機関および研究開発を運営し、サービス提供を行っており、130か国以上で1日に700億件のセキュリティー・イベントを監視し、世界中で10,000件を超えるセキュリティーの特許を認可されています。詳しくは、www.ibm.com/security、Twitter（@IBMSecurity）（US）、またはIBMセキュリティー・インテリジェンス・ブログhttps://www.ibm.com/blogs/security/jp-ja/をご覧ください。

当報道資料は、2020年6月30日（現地時間）にIBM Corporationが発表したプレスリリースの抄訳です。原文は下記URLを参照ください。
https://www.ibm.com/blogs/security/jp-ja/x-force-threat-intelligence-index-reveals-top-cybersecurity-risks-of-2020/

＜関連リンク＞
IBM Security  https://www.ibm.com/jp-ja/security
セキュリティー・インテリジェンス・ブログ  https://www.ibm.com/blogs/security/jp-ja/

¹ IBMセキュリティーおよびPonemon Institute：データ漏えいのコストに関するレポート2019年版
² IBMセキュリティー、X-Force 脅威インテリジェンス・インデックス・レポート2020年版 p. 15

以上

IBM、ibm.com、X-Forceは、世界の多くの国で登録されたInternational Business Machines Corporationの商標です。他の製品名およびサービス名等は、それぞれIBMまたは各社の商標である場合があります。現時点での IBM の商標リストについてはhttp://www.ibm.com/legal/copytrade.shtml（US）をご覧ください。