国内企業833社セキュリティ対策実態調査、被害の4割はランサムウェア感染

こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」4月19日の放送内容を一部抜粋しご紹介します

今回のトピック！
・ニュース解説「IDCの国内企業833社セキュリティ対策実態調査、被害の4割はランサムウェア感染」
・セキュリティ投資を減らす理由
・計画的なセキュリティ投資が行われていない場合のリスク

ニュース解説

IDCの国内企業833社セキュリティ対策実態調査、被害の4割はランサムウェア感染 | ScanNetSecurity

国内企業のセキュリティ投資の増減について報告されています。3割を超える企業がセキュリティ投資を増やすと回答していることが数年続いているようです。いくらかけたらいいか判断が難しいと言われるセキュリティ対策への投資について、いくつかの判断基準について説明します。

同調査によると、2016年から連続して3割を超える国内企業がセキュリティ投資を増やしているということです。一方、1割前後の企業がセキュリティ投資を減らしており、半数以上の企業が増減なしと回答しています。2020年度にセキュリティ投資を増やしている企業は、主にネットワークセキュリティとアイデンティティ・アクセス管理、クラウドセキュリティを重点項目としていることが多いということです。

また、コロナ禍でリモートワークの実施が広がる中、アクセス管理やEDRなどエンドポイントのセキュリティ対策に投資が進んでいるようです。ただし、過去のセキュリティ対策と差異がないことから、リモートワークで今後強化すべきセキュリティ対策については、まだ明確になっていないことが推測されます。

セキュリティ投資を減らす理由

あくまでもポジティブに考えられる理由として「情報資産の価値に適切なセキュリティ投資」と「セキュリティ対策の仕組化」が挙げられます。製品やサービスにかかる「物的投資」と、人にかかる「人的投資」の、それぞれの観点から説明します。

まず、情報資産の価値に適切なセキュリティ投資ですが、クラウド型Webアプリケーションファイアウォールを提供するセキュリティ専門企業の調査によると、Webアプリケーションに対する実際の攻撃の約9割はクロスサイトスクリプティングやSQLインジェクションなど一部の脆弱性で発生していると報告されています。一方で、それらの攻撃に特化したセキュリティ製品は、それ以外の脆弱性も含めて網羅できるとうたわれているセキュリティ製品と比較して、5倍から10倍以上の投資がかかるということです。ここで重要なポイントは、残り1割の被害を想定してセキュリティ対策に投資をすべきどうかは、守るべき情報資産の価値によって判断することです。

また、セキュリティ対策の仕組化ですが、ホワイトハッカーと呼ばれるようなハイスペックなエンジニアのみに頼った属人的なセキュリティ対策ですと、どうしても人件費は継続的にかさんでしまいます。そこで、セキュリティの業務を細分化して、単純作業の繰り返しを自動化したり、手順の整備によって一般のエンジニアに作業を代替させることで、過剰なセキュリティ投資を抑制することができます。仕組化や標準化を取り入れる企業が増えてきた結果、安全性を担保しながらセキュリティ投資を減らすことができるようになった企業が増えているのかもしれません。

その他のトピックはこちら

端末・ファイルへの物損被害だけでなく、身代金の請求される事への労力、ひいては顧客への信頼をも脅かす直接的な原因にもなりかねないランサムウェアへの対策について、セキュリティ予算が決められてなく計画的なセキュリティ投資が不透明であると答えた企業さんには、どのようなリスクが考えられますでしょうか？

すべての放送を聴かれるかたはこちら

記にしもと