海の向こうの“セキュリティ”

欧米企業のセキュリティ対策の実態/「Pwn2Own 2015」でアジア勢が活躍

欧米企業のセキュリティ対策の実態

 企業や組織のセキュリティ担当者で、自組織のセキュリティ対策の妥当性を検証するために他組織の取り組みの実態を知りたいと考えている人は少なくないと思います。そのような期待に応えるかのように、米国の調査会社CyberEdge Groupが、欧米企業のセキュリティ担当者814名に対してアンケート調査を行った結果が公開されました。調査の対象となった企業は、約7割が北米(米国、カナダ)で、その他がヨーロッパ(英国、フランス、ドイツ、スペイン、イタリア)となっています。また、実際にアンケートに回答した「セキュリティ担当者」は、CIOやCISOなどを含むITセキュリティの責任者が最も多い(30%)ですが、他にもさまざまなポジションの方が含まれています。

 結論から言えば、今回のアンケートの結果は、企業の規模や業種・業態によらずに単に集計しただけのものなので、特に深い意味はありませんし、この結果を真に受ける必要はないでしょう。そもそも、企業ごとに守るべき情報資産も違えば、その価値も違いますし、管理すべきシステムも異なれば、当然ながらセキュリティ対策も違ってくるからです。

 しかし、それでもセキュリティ担当者としては、経営層のみならず、株主や顧客などに対して自社のセキュリティ対策の妥当性を説明しなければならない状況は多々あります。その際に、このようなアンケートの結果を比較対象として「上手に利用」すればよいのです。

 なお、調査対象となった企業の業種や規模、アンケートの具体的な方法については報告書(http://www.cyber-edge.com/wp-content/uploads/2015/03/CyberEdge-2015-CDR-Report.pdf)のAppendixを参照してください。

 まず最も気になるところ(と考えられるの)はセキュリティ投資でしょう。IT予算全体に占めるセキュリティの割合をまとめたのが図1です。最も多いのは6%から10%ですが、1%から2%という企業も1割近くあります。

図1

 過去1年間でサイバー攻撃の被害を受けた経験についてまとめたのが図2です。前年2014年の調査では62%の企業が被害を受けたことがあると回答していたのに対し、今回は71%と増えています。また、複数回被害を受けた企業も前年より増えています。しかし、これはあくまで企業自らによる「被害の認知」の有無を示したに過ぎず、被害に気付いていないケースもありうるということに注意しなければなりません。

図2

 さらに2015年にサイバー攻撃の被害を受ける可能性について尋ねた質問に対する回答をまとめたのが図3です。前年2014年には3割近くが「被害は受けないだろう」と予測していたのに対し、同様に回答した割合は24%に減っています。逆に被害を受ける可能性を感じている割合は増えています。

図3

 次に、自社の具体的な個々のセキュリティ対策について、それぞれ5点満点で自己評価した結果をまとめたのが図4です。データセンターやウェブサーバー等に対してはそこそこの評価をしているのに対し、モバイル系やSNSに対しては低めの評価が付けられています。

図4

 ネットワークセキュリティの技術ですでに導入しているもの、1年以内に導入を検討しているものをまとめたのが表1です。多くの技術がすでに半分以上の企業で導入されており、導入が半分に満たないものでも4割以上で導入済みのようです。

表1

 PC(デスクトップおよびラップトップ)やサーバー等、エンドポイントのセキュリティ技術ですでに導入しているもの、1年以内に導入を検討しているものをまとめたのが表2です。アンチウイルスを導入していない企業が2割近くあります(サーバーに未導入はさほど珍しくない)が、ディスクの暗号化やホワイトリスト/ブラックリストによるアプリケーション管理が6割以上で導入済み、その他の技術もほとんどが4割以上で導入済みという結果になっています。

表2

 モバイル端末に関するセキュリティ技術について、すでに導入しているもの、1年以内に導入を検討しているものをまとめたのが表3です。こちらはこれまでと違って全体に未導入のものが多く、先ほどの自己評価でモバイル系の評価が低かったことと整合しています。

表3

 現在の日本では特に注目度が高いと思われる内部犯行への対策として、ユーザーの権限昇格や特権ユーザーを監視する技術に適切に投資しているかとの質問に対する回答をまとめたのが図6です。「Somewhat」を含めれば7割近くがYesと回答しています。

図6

 最後に、次年度にITセキュリティ関連の総予算が増えそうか減りそうかを尋ねた質問に対する回答をまとめたのが図18です。全体としては増える企業が多いですが、現状維持が30%、減少が8%となっています。

図18

 ほかにも、この報告書ではさまざまなポイントで調査した結果が掲載されています。最初に述べたように、この調査結果そのものを真正面から生真面目に捉える必要はありませんが、報告書の中には少なくとも1つくらいは役に立つ調査結果(グラフや表)があると思います。上手く利用してください。

毎年恒例のクラッキングコンテスト「Pwn2Own 2015」でアジア勢が活躍

 今年もカナダ・バンクーバーでCanSecWestの年次会合が3月18日から20日まで開催され、例年同様いわゆる「クラッキングコンテスト」である「Pwn2Own 2015」も併せて18日と19日の2日間にわたって行われました。

 今回は、主要な4つのウェブブラウザー(Microsoft Internet Explorer、Google Chrome、Mozilla Firefox、Apple Safari)のすべてが攻略されたほか、Windows OS、Adobe Reader、Adobe Flash Playerの脆弱性も見つかっています。今回使われた(見つかった)未公開の脆弱性の数をまとめると以下のようになります。

 5:Windows OS
 4:Microsoft Internet Explorer 11
 3:Mozilla Firefox
 3:Adobe Reader
 3:Adobe Flash Player
 2:Apple Safari
 1:Google Chrome

 これらの脆弱性に関する情報はすべて開発元に提供され、そのうち、Mozilla Firefoxについては数日のうちに修正されたバージョンが公開されています。

 挑戦者の中で特に際立った活躍をしたのは、韓国のラオン・ホワイトハットセンター所属のイ・ジョンフン(JungHoon Lee、ハンドル名lokihardt)氏です。彼はWindows上のInternet Explorer 11とGoogle Chrome、さらにMac OS X上のApple Safariを次々と攻略し、合計して賞金22万5000ドルを獲得しました。また、他の挑戦者の多くがグループであったのに対し、彼は一貫して1人で挑戦した点も強い印象を残した理由になっているようです。

 彼以外にも、中国から参加したTeam509とKeenTeamの両チームが、協力してInternet Explorer 11で動くFlash Playerを攻略したほか、Windowsカーネルの欠陥を使って権限昇格し、トータルで賞金8万5000ドルを獲得するなど、アジア勢の活躍が目立ったコンテストだったと言えるでしょう。その一方で、未公開の脆弱性情報を(それなりに)持っているであろう、名だたる有名セキュリティベンダーが出てこないというのも気になるところ。コンテストで活躍することで知名度を上げる必要がそもそもないというのもあるでしょうが、何より、賞金と引き換えに脆弱性情報を「売る」よりも、もっと高額で売れる情報があり、かつ実際に売る相手がいるということなのでしょう。ちなみに、今回のコンテストで支払われた賞金の総額は55万7500ドルでした。

山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。