情報漏えいは全ての組織にとって重大な脅威です。その危険性とは、会社のシステムへアクセスされるばかりでなく、それらの侵入の痕跡を完全に隠してしまう方法も見つけだされてしまうことです。攻撃者は侵入の痕跡を隠蔽することで、社内ネットワーク上に長期にわたり発見されずに存在します。そして同じ経路で何度も侵入を試みることでデータを少しずつ抜き取り、情報の収集を行います。
残念ながら、ターゲットにされたネットワークへの執拗な攻撃は、漫然としているものではなく、非常に巧妙な手口によって行われます。
事実、Mandiant社の報告書M-Trend2015において、社内ネットワーク上でATP攻撃を検知するのに必要な時間は平均で205日かかっていることが明らかになり、同様に、Verizon社の2015年版データ漏えい/侵害調査報告書(要約はこちら)は、ターゲットとされた攻撃のうち3分の2については、その検知には数か月がかかると報告しています。Mandiant社とVerizon社の調査結果は、漏えい発生の時間と漏えいがセキュリティ担当者によって検知される時間には、明らかな差があることを指摘しています。一方、IT専門家はセキュリティ事故を素早く検知する能力を信用しています。それは過信と言わざるをえません。昨夏実施したエネルギー会社幹部およびIT専門家 400人以上を対象に実施した調査によると、回答者の半数以上が24時間未満で漏えいを見つけることが可能だと考えていることが明らかになりました。763人のITプロフェッショナルを対象に実施された2016年2月の調査でも明らかにされているように、過信の度合はここ数か月で変化はありません。
そこでTripwireでは、小売部門で働くセキュリティ専門家がいかに情報セキュリティに対し、エネルギー関係者同様、過信の度合が強いかを確認した調査結果を公表しました。小売業界のIT専門家200人以上の回答を得た2016年の小売業界セキュリティ調査において、Tripwireは、攻撃者に盗まれた、または個人情報へのアクセス(PII)による情報漏えいの件数が2014年以来2倍になっていることを確認しました。2年前にTripwireが実施した同様の調査では、回答者のわずか14パーセントのみが「漏えいを経験したことがある」と回答していましたが、今年の調査では回答者の3分の1にまで増加していました。
そのような状況にもかかわらず、漏えいの件数が増加した事実に対し、IT専門家の自信は揺るいでいません。回答者のほぼ半分(48%)が、彼らが使用する漏えい検知の製品は部分的にしか統合されていないと回答しているにもかかわらず、ほぼすべて(95%)のIT専門家は、「自分たちの組織は一か月以内に漏えいを検知できるだろう」と回答しています。2014年の調査では78%でした。
「部分的に実装されたツールは情報セキュリティにおいて深刻な問題である」とTripwireのITリスク/セキュリティ戦略担当ディレクタ ティム・アーリンは警鐘を鳴らします。「組織は、チェックボックス型の対応から、ギャップ測定によるカバレッジ型へ移行する必要があります。あなたがエンドポイントを100パーセント監視できていなければ、攻撃者が侵入口を確保する余地を残していると言えます。」
こういったIT専門家の漏えいに対する過信と準備不足の状況にあっては、小売企業は今後も情報漏えいを経験し続けることになるでしょう。Tripwireの最高技術責任者(CTO)ドゥウェイン・マランソンは、2016年の小売業界サイバーインテリジェンスサミットにおいて、小売業界での漏えいについて、また漏えい後の信頼を回復する方法について講演する予定です。
重要な点は、小売業界において情報セキュリティ部門のプロフェッショナルが、組織のセキュリティを強化することです。まずは小売業界に関する情報セキュリティの資料、情報を集めたこちらをご覧ください。
Tripwireの最新の調査についての詳細は、ここをご確認ください。
Title image courtesy of ShutterStock
元の記事はこちらからご覧いただけます。