エンドポイントにおけるサイバー攻撃の検知に必要な7 つの重要なセキュリティコントロールに関する自信度を業界リーダーが評価
トリップワイヤ・ジャパンは本日 2016年6月16日に「インフォグラフィック:金融サービス業界の IT プロフェッショナルは侵害検知機能について自信過剰?」および「調査:Tripwire 2016 金融サービス業界における侵害検知」を公開いたします。以下、2016年5月11日に米Tripwire, incが発表したプレス発表の抄訳です。
オレゴン州ポートランド、2016 年 5 月 11 日 - エンドポイント検知/対応、セキュリティ、コンプライアンスソリューションの主要なグローバルプロバイダであるTripwire, Inc. は、Tripwire の依頼により Dimensional Research 社が実施した調査の結果を発表しました。調査では、サイバー攻撃の発生を迅速に検知するために導入が必要とされる 7 つの重要なセキュリティコントロールの有効性に関し、IT プロフェッショナルの自信度を評価しました。調査ではさまざまな業種の 763 名の IT プロフェッショナルが回答し、このうちの 134 名が金融業界に属していました。
Identity Theft Resource Center の 2015 年侵害リストレポートは、2014 年から 2015 年にかけて、バンキング、クレジットおよび金融業界におけるデータ侵害件数が倍増したことを示しています。このような侵害インシデントの増加にもかかわらず、金融サービス業界の IT プロフェッショナルの大半は、自社のツールが侵害の重要な兆候を発見するまでの時間について不確かであると答えたにもかかわらず、データ侵害を検知する能力については高いレベルの自信を示しました。金融業界の回答者 の 60% が、自社のネットワークから不正なデバイスを隔離または削除するまでの時間について、『分からない』、あるいは『大まかにしか分からない』と答えているのにもかかわらず、87% は不正なデバイスがあれば数分あるいは数時間以内に隔離/削除できると考えています。
また、金融業界からの回答では次のような調査結果も報告されています。
・ネットワークデバイスの構成に不正な変更が行われた場合、自社の自動化ツールでその発生場所や部門などの重要な情報を特定できると答えているのは、わずか 37% であった。
・82% は、自社のネットワークデバイスの構成への不正な変更が行われた場合、数分あるいは数時間以内に検知できると考えている。しかしながら、59% の回答者は、このような検知にどのくらいの時間を要するのか正確には知らないと認めている。
・自社ネットワーク上で不正なデバイスが検知された場合、回答者の 92% は数分または数時間以内にアラートが発生するであろうと答えている。しかしながら5% は、自社のネットワーク上のハードウェア資産が自動検出されているのは 80% 以下と回答した。
・29% は、システム上のファイル、あるいはネットワーク上の共有ファイルへ、権限を持たないユーザからのアクセスがあってもすべてを検知できてはいないと回答した。
・40% は、典型的なパッチサイクルで適切に修正されるパッチの割合は 80% 以下であると回答した。
Tripwire の ITリスク/セキュリティ戦略担当ディレクタのティム・アーリンは、次のようにコメントしています。「コンプライアンスとセキュリティは別物です。ベストプラクティスの多くはコンプライアンス標準に義務付けられていますが、それらは通常『該当欄をチェックする』という方法で実施されます。コンプライアンスに対応さえしておけば、監査人を寄せ付けずに済むかもしれません。しかし、それだけではサイバー犯罪者に組織に侵入するための足掛かりを与えかねません。」
Tripwire の調査は、PCI DSS、SOX、NERC CIP、MAS TRM、NIST 800-53、CIS 20 Critical Controls、IRS 1075 などのさまざまなコンプライアンス規制によって要求される 7 つの重要なセキュリティコントロールを基に実施したものです。これらのコントロールは、US-CERT 勧告や、オーストラリア国防信号局提唱の標的型サイバー侵入に対する軽減戦略などの国際規格にも対応しています。
勧告および指針には次のものが含まれます:
・正確なハードウェア・インベントリ
・正確なソフトウェア・インベントリ
・継続的な構成管理とハードニング
・包括的な脆弱性管理
・パッチ管理
・ログ管理
・アイデンティティ/アクセス管理
組織全体でこれらのコントロールを導入した場合、世界に蔓延する危険なサイバー攻撃を防御するために必要となる具体的な情報が獲得できます。侵入の兆候を迅速に見つけだし、甚大な損害が発生する前に適切なアクションを起こすことが組織にとって必要不可欠です。Mandiant 社の M-Trends 2015 レポートでは、企業ネットワーク上で APT 攻撃を検知するまでに要する平均的な日数は 205 日と報告されています。また、Verizon 社の2016 年データ侵害調査レポートでは、標的型攻撃の 83% はその検出までに数週間要したことが示されています。
Tripwire のシニアセキュリティリサーチエンジニアの Travis Smith は次のようにコメントしています。「成熟したセキュリティを配備するには可視性の確保を避けては通れません。自分が見ることができないものを保護することはできないのです。自社の資産と侵入の可能性を把握しておけば、セキュリティチームは攻撃の対象となりやすい箇所に集中することができます。先を見据えて対応すれば、インシデント発生後に対応するよりコストを抑えることができます。」
その他のリソース:
インフォグラフィック:金融サービス業界の IT プロフェッショナルは侵害検知機能について自信過剰?
http://www.tripwire.com/it-resources/are-financial-services-it-pros-overconfident-in-data-breach-detection-skills/
調査:Tripwire 2016 金融サービス業界における侵害検知
http://www.tripwire.com/company/research/tripwire-2016-breach-detection-survey-finance-sector/
(本資料は、2016年5月11日に米Tripwire, Inc.が発表した情報の抄訳です)
http://www.tripwire.com/company/news/press-release/tripwire-study-financial-services-it-professionals-overconfident-in-breach-detection-capabilities/
Tripwireについて
Tripwireは企業、サービスプロバイダ、政府機関を対象とするエンドポイント検知/対応、セキュリティ、コンプライアンス、IT運用ソリュー ショ ンのリーディングプロバイダです。Tripwireのソリューションは、信頼性の高い資産の可視化機能および詳細なエンドポイントインテリジェンスをベー スに、ビジネス・コンテキストを組み合わせ、これらソリューションが一体となってセキュリティ/IT業務を統合、自動化しています。 Tripwireのエンタープライズ・クラス・ソリューションには、コンフィグレーション/ポリシー管理、ファイル整合性監視、脆弱性管理、ログ管理、レポート/分析が含まれています。
詳細については以下をご参照ください。
tripwire.com(米Tripwire, Inc.)
https://www.tripwire.com/
tripwire.co.jp(日本)
https://www.tripwire.co.jp/
また、セキュリティ関連のニュース、トレンド、および知見については以下をご参照ください。
ブログ:
THE STATE OF SECURITY(米Tripwire, Inc.)
http://www.tripwire.com/blog/
THE STATE OF SECURITY JP(日本)
http://www.tripwire.com/state-of-security-jp/
Twitter:
@TripwireInc(米Tripwire, Inc.)
https://twitter.com/TripwireInc
@TripwireJPN(日本)
https://twitter.com/TripwireJPN
本件に関する報道関係者からのお問い合わせ
トリップワイヤ・ジャパン株式会社
マーケティング部
電話番号:03-5206-8610
FAX:03-5206-8613
メールアドレス: press@tripwire.co.jp
トリップワイヤ・ジャパンは本日 2016年6月16日に「インフォグラフィック:金融サービス業界の IT プロフェッショナルは侵害検知機能について自信過剰?」および「調査:Tripwire 2016 金融サービス業界における侵害検知」を公開いたします。以下、2016年5月11日に米Tripwire, incが発表したプレス発表の抄訳です。
オレゴン州ポートランド、2016 年 5 月 11 日 - エンドポイント検知/対応、セキュリティ、コンプライアンスソリューションの主要なグローバルプロバイダであるTripwire, Inc. は、Tripwire の依頼により Dimensional Research 社が実施した調査の結果を発表しました。調査では、サイバー攻撃の発生を迅速に検知するために導入が必要とされる 7 つの重要なセキュリティコントロールの有効性に関し、IT プロフェッショナルの自信度を評価しました。調査ではさまざまな業種の 763 名の IT プロフェッショナルが回答し、このうちの 134 名が金融業界に属していました。
Identity Theft Resource Center の 2015 年侵害リストレポートは、2014 年から 2015 年にかけて、バンキング、クレジットおよび金融業界におけるデータ侵害件数が倍増したことを示しています。このような侵害インシデントの増加にもかかわらず、金融サービス業界の IT プロフェッショナルの大半は、自社のツールが侵害の重要な兆候を発見するまでの時間について不確かであると答えたにもかかわらず、データ侵害を検知する能力については高いレベルの自信を示しました。金融業界の回答者 の 60% が、自社のネットワークから不正なデバイスを隔離または削除するまでの時間について、『分からない』、あるいは『大まかにしか分からない』と答えているのにもかかわらず、87% は不正なデバイスがあれば数分あるいは数時間以内に隔離/削除できると考えています。
また、金融業界からの回答では次のような調査結果も報告されています。
・ネットワークデバイスの構成に不正な変更が行われた場合、自社の自動化ツールでその発生場所や部門などの重要な情報を特定できると答えているのは、わずか 37% であった。
・82% は、自社のネットワークデバイスの構成への不正な変更が行われた場合、数分あるいは数時間以内に検知できると考えている。しかしながら、59% の回答者は、このような検知にどのくらいの時間を要するのか正確には知らないと認めている。
・自社ネットワーク上で不正なデバイスが検知された場合、回答者の 92% は数分または数時間以内にアラートが発生するであろうと答えている。しかしながら5% は、自社のネットワーク上のハードウェア資産が自動検出されているのは 80% 以下と回答した。
・29% は、システム上のファイル、あるいはネットワーク上の共有ファイルへ、権限を持たないユーザからのアクセスがあってもすべてを検知できてはいないと回答した。
・40% は、典型的なパッチサイクルで適切に修正されるパッチの割合は 80% 以下であると回答した。
Tripwire の ITリスク/セキュリティ戦略担当ディレクタのティム・アーリンは、次のようにコメントしています。「コンプライアンスとセキュリティは別物です。ベストプラクティスの多くはコンプライアンス標準に義務付けられていますが、それらは通常『該当欄をチェックする』という方法で実施されます。コンプライアンスに対応さえしておけば、監査人を寄せ付けずに済むかもしれません。しかし、それだけではサイバー犯罪者に組織に侵入するための足掛かりを与えかねません。」
Tripwire の調査は、PCI DSS、SOX、NERC CIP、MAS TRM、NIST 800-53、CIS 20 Critical Controls、IRS 1075 などのさまざまなコンプライアンス規制によって要求される 7 つの重要なセキュリティコントロールを基に実施したものです。これらのコントロールは、US-CERT 勧告や、オーストラリア国防信号局提唱の標的型サイバー侵入に対する軽減戦略などの国際規格にも対応しています。
勧告および指針には次のものが含まれます:
・正確なハードウェア・インベントリ
・正確なソフトウェア・インベントリ
・継続的な構成管理とハードニング
・包括的な脆弱性管理
・パッチ管理
・ログ管理
・アイデンティティ/アクセス管理
組織全体でこれらのコントロールを導入した場合、世界に蔓延する危険なサイバー攻撃を防御するために必要となる具体的な情報が獲得できます。侵入の兆候を迅速に見つけだし、甚大な損害が発生する前に適切なアクションを起こすことが組織にとって必要不可欠です。Mandiant 社の M-Trends 2015 レポートでは、企業ネットワーク上で APT 攻撃を検知するまでに要する平均的な日数は 205 日と報告されています。また、Verizon 社の2016 年データ侵害調査レポートでは、標的型攻撃の 83% はその検出までに数週間要したことが示されています。
Tripwire のシニアセキュリティリサーチエンジニアの Travis Smith は次のようにコメントしています。「成熟したセキュリティを配備するには可視性の確保を避けては通れません。自分が見ることができないものを保護することはできないのです。自社の資産と侵入の可能性を把握しておけば、セキュリティチームは攻撃の対象となりやすい箇所に集中することができます。先を見据えて対応すれば、インシデント発生後に対応するよりコストを抑えることができます。」
その他のリソース:
インフォグラフィック:金融サービス業界の IT プロフェッショナルは侵害検知機能について自信過剰?
http://www.tripwire.com/it-resources/are-financial-services-it-pros-overconfident-in-data-breach-detection-skills/
調査:Tripwire 2016 金融サービス業界における侵害検知
http://www.tripwire.com/company/research/tripwire-2016-breach-detection-survey-finance-sector/
(本資料は、2016年5月11日に米Tripwire, Inc.が発表した情報の抄訳です)
http://www.tripwire.com/company/news/press-release/tripwire-study-financial-services-it-professionals-overconfident-in-breach-detection-capabilities/
Tripwireについて
Tripwireは企業、サービスプロバイダ、政府機関を対象とするエンドポイント検知/対応、セキュリティ、コンプライアンス、IT運用ソリュー ショ ンのリーディングプロバイダです。Tripwireのソリューションは、信頼性の高い資産の可視化機能および詳細なエンドポイントインテリジェンスをベー スに、ビジネス・コンテキストを組み合わせ、これらソリューションが一体となってセキュリティ/IT業務を統合、自動化しています。 Tripwireのエンタープライズ・クラス・ソリューションには、コンフィグレーション/ポリシー管理、ファイル整合性監視、脆弱性管理、ログ管理、レポート/分析が含まれています。
詳細については以下をご参照ください。
tripwire.com(米Tripwire, Inc.)
https://www.tripwire.com/
tripwire.co.jp(日本)
https://www.tripwire.co.jp/
また、セキュリティ関連のニュース、トレンド、および知見については以下をご参照ください。
ブログ:
THE STATE OF SECURITY(米Tripwire, Inc.)
http://www.tripwire.com/blog/
THE STATE OF SECURITY JP(日本)
http://www.tripwire.com/state-of-security-jp/
Twitter:
@TripwireInc(米Tripwire, Inc.)
https://twitter.com/TripwireInc
@TripwireJPN(日本)
https://twitter.com/TripwireJPN
本件に関する報道関係者からのお問い合わせ
トリップワイヤ・ジャパン株式会社
マーケティング部
電話番号:03-5206-8610
FAX:03-5206-8613
メールアドレス: press@tripwire.co.jp
