2018年版の「年次サイバーセキュリティレポート」発表、攻撃側と防御側の動向を説明
企業は大量のセキュリティアラートを放置、シスコ調査で明るみに
2018年03月28日 07時00分更新
シスコシステムズは2018年3月27日、2018年版の「年次サイバーセキュリティレポート」を発表した。過去12~18カ月の間のセキュリティ脅威/サイバー攻撃動向に加え、世界3600人の企業セキュリティ責任者に対するアンケート調査も含まれ、“攻撃側”と“防御側”の動向を報告するもの。
同日の発表会では、発表会では、シスコ日本法人 執行役員 セキュリティ事業担当の田井祥雅氏らが、攻撃側、防御側それぞれの動向や調査結果から、注目すべきポイントを説明した。
シスコが発行した2018年版の「年次サイバーセキュリティレポート」。同社サイトからダウンロード可能
シスコ日本法人 執行役員 セキュリティ事業担当の田井祥雅氏
米シスコ Security & Trust部門 トラストストラテジーオフィサーでのアンソニー・グレイコ(Anthony Grieco)氏
サイバー脅威は依然として「複雑で困難な状況」が続く
今年で11年目を迎えた同レポートでは、シスコおよびテクノロジーパートナー6社(Anomali、Lumeta、Qualys、Radware、SAINT、TrapX)が過去12~18カ月の間に観測したセキュリティ脅威/サイバー攻撃に関する情報や動向をまとめている。さらに世界26カ国、3600人のCSO(最高セキュリティ責任者)やセキュリティオペレーション(SecOps)マネージャーへの調査結果が紹介されている。
サイバーセキュリティの脅威動向については「依然として複雑で困難」な状況が続いており、具体的には攻撃レベルの高度化、検出回避の巧妙化、そして新技術に見られるセキュリティギャップの悪用といった変化が見られることを指摘している。
攻撃レベルの高度化として、たとえばマルウェアトラフィックの暗号化が、一般的なWebトラフィックの暗号化よりも急速に進んでいることが紹介された。2017年10月時点では、Webトラフィックの暗号化率が50%にとどまるのに対し、マルウェアトラフィックはすでに70%が暗号化されるようになっている。1年前と比較すると、暗号化率はおよそ3.6倍に高まっているという。
マルウェアトラフィックに占める暗号化トラフィックの割合は、2016年の19%から2017年には70%と急増している
また、WannaCryやNyetya(別名:NotPetya、ExPetr)が登場し、ランサムウェアがネットワーク経由で自己増殖する“ランサムワーム”へと進化した。これもこの1年の出来事だ。
サンドボックスによる検出を回避するための技術もより巧妙になってきている。多数のマルウェアサンプルを調査した結果、ドキュメントを開いたタイミングではなく「ドキュメントを閉じる」タイミングで発症するサンプルや、一部サンドボックス製品が検査しない「PDFファイルに組み込まれたWordファイル」への不正コード添付といった検出回避テクニックを用いるものの増加が見られた。
サンドボックスによる検知を回避するため、さまざまな手法が用いられている
DDoS攻撃においては、旧来のネットワーク層を狙う攻撃が減少する一方で、アプリケーション層を狙った攻撃が増加しているという。複雑さ、頻度、継続時間も増しており、DDoS攻撃が数カ月間継続するケースも発生している。
「新技術のセキュリティギャップ悪用」は、IoTや産業制御システム(ICS)など新たにネットワーク接続されるようになった領域のセキュリティ対策がまだ未熟であることを指している。攻撃者たちは、こうした新領域のテクノロジーに関しても、その脆弱性を調査するなどして将来的な攻撃実施の準備をしているという。
複雑化が進み“負の連鎖”が止まらないセキュリティ環境
一方で、防御側である企業では、セキュリティ管理がより複雑化し、産業制御システム(ICS)などの新たな攻撃ターゲットへの防御意識が立ち後れているなどの問題があることがわかったという。特に、セキュリティ管理の複雑化は重大な問題となっている。
調査結果を見ると、利用するセキュリティ製品のベンダー数が「11~20社」に及ぶという回答が25%を占め、2016年調査の18%から増加している。
セキュリティ環境のマルチベンダー化が進むと、その管理も複雑なものになっていく。利用ベンダー数が増えるにつれて、全体の協調的な管理(オーケストレーション)が「非常に困難」とする回答も増えている。さらに、セキュリティ人材の人手不足もこの問題を加速させる。
マルチベンダー化が進むほど、セキュリティ環境全体のオーケストレーションは困難になっていく
その結果、セキュリティ製品がアラートを上げても手が回らない、という状況も起きている。調査結果を見ると、セキュリティアラートのうち「調査された」ものは56%にとどまり、アラートが上がっても「未調査」「未修復」のまま放置されているものもかなり多いのが現状だという。「日常的にセキュリティアラートを受信している組織においては、平均で44%のアラートが調査されていない」(レポートより)。
田井氏は、新しいセキュリティ脅威が出てくるたびに、それに対応する新しいセキュリティ技術/製品を導入してきた結果、全体の複雑さと管理の困難さが増し、結果として対応が後手に回っている状況だと指摘。こうした状況を「“負の連鎖”が起きている」と表現した。
セキュリティアラートの44%が「未調査」。対策が後手に回っている
なお、セキュリティ対策の主な制約として「熟練スタッフの不足」を挙げる回答が27%を占め、前年比で5ポイントの増加となっている。一方、「予算」が制約になっているという回答は34%と依然高いものの、前年比では5ポイントの減少となっており、企業が少しずつセキュリティ投資の強化に向かいつつあることを示している。
企業のセキュリティ対策における課題や障壁。モバイルデバイスやクラウドデータといった、新たな防御対象の登場も新たな課題だ
「サイバー攻撃への懸念が企業のイノベーションやDXを阻害している」
発表会に出席した米シスコ Security & Trust部門 トラストストラテジーオフィサーでのアンソニー・グレイコ氏は、今回の調査では企業セキュリティ責任者の多くが、サイバーセキュリティに対する懸念がビジネスの革新やイノベーションを阻害していると認識していることを説明。堅牢なセキュリティを実現することで、新たに5.8兆ドル規模のデジタルユースケースが実現しうるとの予測を紹介した。
またシスコ日本法人 執行役員 CTO兼CSOの濱田義之氏も、シスコがセキュリティの取り組みを強化しているのは、セキュリティ懸念が企業のデジタルトランスフォーメーションを阻害するためだと説明。「サイバー空間のセキュリティを守ることで、ビジネスの発展、デジタルトランスフォーメーションを進めていきたい」と方針を述べた。
「サイバーセキュリティリスクの懸念が企業の革新を阻害している」と考える回答者が71%を占めた
シスコとしての具体的施策として、田井氏は「TTD(Time To Detect)」の短縮や、ネットワーク/エンドポイント/クラウドのセキュリティが協調し自律的に動く技術の開発に努めていると説明した。
TTDは、Talosが新たに入手したサンプルがマルウェアである(何らかの脅威である)と認識するまでの時間を指す。2017年は、TTDの中央値が4.6時間にまで短縮できたという。
シスコではTalosにおけるTTDの短縮に努めてきた
また、自律的/自動的なセキュリティ環境の実現に向けては、シスコ製品間の連携だけでなく、マルチベンダー環境での高度な製品間情報共有を行う「pxGrid」において、エコパートナーがすでに50社以上に拡大していることが紹介された。
