Newsroom

ガートナージャパン株式会社 (本社：東京都港区、以下Gartner) は、国内のマルウェアや標的型攻撃への対策状況に関する調査結果と注目すべきトレンドを発表しました。

企業におけるマルウェアや標的型攻撃の被害は尽きることがなく、被害が発生すれば、ビジネスや業務に深刻な影響が及びます。アナリストでバイス プレジデントの礒田 優一は次のように述べています。「セキュリティへの対策は、各組織で脅威の捉え方やリスクが異なるため、どの程度実施すべきなのかに対する唯一の解は存在せず、他社の取り組みを模倣すればすべてが解決するという訳でもありません。しかしながら、世の中の全体傾向を把握することで、自社のリスクや状況を踏まえて議論を行い、今後に向けたセキュリティ計画に反映させることが可能です」

Gartnerが2022年3月に国内で実施した調査において、「マルウェアや標的型攻撃への対策の実施状況」を尋ねたところ、「実施済み」と回答した企業の割合は、以下の通りでした (図1参照)。

礒田は次のように述べています。「まずは全体傾向を把握した上で、自社の取り組み状況を大まかに確認することが重要です。『実施済み』と回答した企業の割合が高い対策の中で、自社が取り組んでいないものがあれば、その対策の優先度を上げて取り組みを進めるなど、自社の状況に合わせた議論が必要です。あわせて、自社で既に『実施済み』の対策でも、対策が陳腐化していてアップデートが必要な可能性もあります。それぞれ対策の状況を見直し、強化する必要があります」

なお、本調査を活用する上での注意点として、偏った見方やミスリードになるような意思決定は避ける必要があります。「実施済み」とする回答の中身はさまざまです。例えば、「脆弱性管理」と一言で言っても、その内容は脆弱性情報の収集、評価、優先順位付け、パッチ適用、自動化など、取り組み方は多岐に渡るため、本来は一つ一つ詳細を詰めた丁寧な議論が必要になります。本調査結果は、あくまで全体の輪郭レベルの分析や議論の材料と位置付けるべきです。

マルウェアや標的型攻撃に関連する特に注目すべきトレンドには、以下が挙げられます。

ランサムウェアやEmotetの被害と、脅威インテリジェンスやペネトレーション・テストの採用増

リモートワークの恒常化、海外拠点の弱点を突いた攻撃の増加 (後述)、ロシアのウクライナ侵攻を踏まえたサイバー空間での脅威の高まり等を背景に、深刻なランサムウェアのインシデントが継続しています。さらには一度沈静化したEmotetの感染再拡大による被害の急増もありました。それらにより、エンドポイントの対策のみではなく、攻撃フェーズに沿った多段階の対策の強化を急ぐ組織や、次の一手を見出す対策を検討する組織が増えています。また、次の一手を見いだすべくペネトレーション・テストの実施を検討する組織が増加し、国内でも侵入／攻撃シミュレーション (BAS) ツールの認知度が徐々に高まっています。さらに、脅威インテリジェンスの活用も、以前はハードルが高いと感じる組織が多くみられましたが、さまざまなユースケースがあり、活用の幅が広がっています。

礒田は次のように述べています。「セキュリティ／リスク・マネジメントのリーダーは、『敵を知り、己を知る』ことを念頭に置き、自社が可能な限り早期に攻撃を検知し、可能な限り素早くリカバリを実施できるよう備えを確実にすることが重要です」

海外拠点や取引先などサプライチェーンのセキュリティ・リスク

昨今の地政学的情勢の変化や、サイバー空間における最新の脅威の動向を受け、セキュリティ・リスクが及ぼすビジネスへの影響の深刻さが増しています。海外拠点の相次ぐセキュリティ侵害、国際情勢を受けた不安の高まりや取引先のインシデントによるビジネス停止、オープンソース・ソフトウェア (OSS) および商用ソフトウェアの深刻な脆弱性やハードウェアの調達に伴う懸念の増大、さらには日本における経済安全保障推進法の成立など、サプライチェーンのセキュリティ・リスクへの関心が高まり、その対応が急務になっています。

セキュリティ／リスク・マネジメントのリーダーは、まずはサプライチェーンとセキュリティの全貌について整理し、優先順位を付けて自社の取り組みを進めていく必要があります。取り組みを推進する際は、実際の取り組みに対する継続的なアセスメントを行うことも重要です。礒田は次のように述べています。「セキュリティ／リスク・マネジメントのリーダーは、インシデントが発生した際に、本社主導でリーダーシップを発揮し、いかに被害を最小限に抑え、説明責任を果たすことができるかが問われています」

「ゼロトラスト」

インサイド・アウト (サーバのワークロード、トラフィック、データやワークプレースが中から外へシフト) が進行した結果、「ゼロトラスト」に関心が集まり、ハイプが継続しています。セキュア・アクセス・サービス・エッジ (SASE)、セキュア・サービス・エッジ (SSE)、あるいはその他のテクノロジについての問い合わせがGartnerには引き続き多く寄せられており、今後もしばらくはこの傾向が継続するとみています。複数のベンダーを組み合わせるか、それとも極力少数のベンダーに統合していくかといった議論が増えています。

礒田は次のように述べています。「日本企業は全体像の把握や、どこからどのように進めていくべきかの戦略／計画立案に苦心しています。ゼロトラストの議論の範囲はセキュリティ領域の全般に及ぶため、自社の取り組み状況に合わせ、全体および個々のテクノロジやサービスで、最新トレンドを踏まえた検討が必要です」

調査手法

本調査は2022年3月に、国内の従業員500人以上の組織で、セキュリティ領域における製品、ソリューション、サービスの導入や選定に決裁権がある、または関与している担当者、もしくはセキュリティ戦略に関与している担当者を対象に実施しました。有効回答企業数：412社。

Gartnerは来る7月25～27日、ガートナー セキュリティ&リスク・マネジメント サミット 2022 (会場：ヒルトン東京お台場) を開催します。本サミットでは、セキュリティ戦略の再編、セキュリティ文化の醸成、リスク・オーナーシップの委譲、新たなセキュリティ・アーキテクチャの確立といったさまざまな視点から、最高情報セキュリティ責任者 (CISO) およびセキュリティ・リーダーに向けた実践的な提言を行います。コンファレンスのニュースと最新情報は、Twitterでご覧いただけます (#GartnerSEC)。

Gartnerのサービスをご利用のお客様は、リサーチノート「セキュリティ：何をどこまで実施すべきか (マルウェアや標的型攻撃) 2022年」で詳細をご覧いただけます。姉妹編として「セキュリティ：何をどこまで実施すべきか (外部公開Webサービスへの攻撃) 2022年」と「セキュリティ：何をどこまで実施すべきか (内部不正やミスによる情報漏洩) 2022年」も発行しています。

日本で提供しているサービスについては、こちらよりご参照ください。https://www.gartner.co.jp/ja/products

日本のITエグゼクティブ向けのニュースや最新情報は、GartnerのTwitterやFacebookでも案内しています。最新のプレスリリースや記事、ウェビナー情報については、こちらよりご参照ください。