海の向こうの“セキュリティ”

攻撃者の「実態」に関する調査/セキュリティ担当者にかかるプレッシャー

攻撃者の「実態」に関する調査

 Palo Alto NetworksとPonemon Instituteは、米英独の「専門家(expert)」304名を対象に、攻撃者の動機をはじめ、攻撃の金銭的インセンティヴを取り除いて有利な立場に立つ方法などについて調査した結果をまとめた報告書「Flipping the Economics of Attacks」を公開しました。

 まず、報告書によると、回答者の69%が動機は金銭目的としています。

 ところで、昨年、米セキュリティ企業のTrustwaveは、同社の調査報告書の中で、マルウェアの販売など、実際に存在するサイバー犯罪を支援するサービス(ビジネス)を例に挙げ、サイバー犯罪の投資対効果(ROI)が1425%に上ると発表しました。この数字は大きさのインパクトもあり、さまざまな場で引用されているようで、確かに、この数字だけを見ると攻撃者は「大儲け」しているように思えます。これに対し、今回のPalo AltoとPonemonの報告書によれば、平均して攻撃者が稼げる金額は年間で2万8744ドルであり、これはサイバーセキュリティのプロの年間平均賃金の約4分の1であるとしています。また、攻撃に費やしている時間は年間平均で705時間で、時間あたりで比較しても、経験豊富なITセキュリティ専門家の方が38.8%も高い金額になるそうです。

 この2万8744ドルという数字は次のような計算に基づいています。まず、成功した攻撃1回あたりの平均収益が1万4711ドル、年間の攻撃の平均回数が8.26なので、12万1512ドル(=1万4711ドル×8.26)が年間の収益となります。しかし、これを攻撃の成功確率42%と、成功した攻撃のうち実際に収益を上げられる確率59%で補正し、さらに技術レベルの高い攻撃者が攻撃実行のために特殊化したツールキットにかける費用とされる年間平均1367ドルを引くと、以下のようになります。

 2万8744ドル={[1万4711ドル×8.26×42%×59%]-1367ドル}

 一方、特定の相手を対象としていない攻撃の場合は、空き巣と同様に、攻撃に時間をかけることを避ける傾向があると言われていますが、実際、40時間を超えてしまうと60%の攻撃者は別のターゲットに移っていくようです。さらに、攻撃者が攻撃をやめる時間を外挿すると209時間となっています。つまり、無差別な攻撃に対しては、9日間耐え切れば逃れることができるというわけです。

 また、技術レベルの高い攻撃者が「典型的(typical)」なITセキュリティインフラの組織に対する攻撃の計画と実行にかける平均時間は70時間であるのに対し、「優良(excellent)」なITインフラを持つ企業に対しては倍以上の147時間をかけるそうです。なお、「優良(excellent)」なITセキュリティインフラであることを示すポイントとしては以下の5つが挙げられています(詳細は報告書を参照してください)。

  • 当該ネットワークを「何」や「誰」が使っているかが明確になっている。
  • 不審な動作に対する自動再プログラミング機能を可能な限り導入している。
  • 同様の攻撃による被害を受けないように、常にほぼリアルタイムに攻撃情報を共有できる国際的なエコシステムの一部となっている。
  • データの置き場所やネットワークの構成によってセキュリティのありようを変えるべきではない(セキュリティの一貫性のなさは脆弱性となる)。
  • セキュリティを理由に生産性を犠牲にすべきではない。

 次に、回答者の53%は、攻撃を成功させるのにかかるコストが下がってきており、計画と実行にかかる時間も短くなっているとしています。その理由として、67%が「既知の攻撃手法や脆弱性の数の増加」、52%が「攻撃者のスキルの向上」、46%が「攻撃用ツールの改善」を挙げています。

 また、過去2年間で、63%の回答者が攻撃用ツールの使用が増えてきているとし、64%の回答者がこれらのツールが効果的であるとしています。

 これらを踏まえ、攻撃を防ぐための手段として「脅威情報(threat intelligence)の共有」について調べた結果では、平均して39%の攻撃を防ぐことができるとし、また、55%の回答者が最も有効であるとしています。

 今回の報告書は、あくまで米英独の「専門家」の意見に基づくものなので、必ずしも日本でもそのまま同じことが言えるとは限りません。それでも、興味深い調査結果が数多く含まれています。セキュリティに関わる方には一読をお勧めします。

セキュリティ担当者にかかるプレッシャー

 企業や組織のセキュリティ担当者は責任も重く、大きなプレッシャーの中で業務をこなしている方も少なくないと思います。そのような中、米セキュリティ企業のTrustwaveは、世界各国のセキュリティ担当者1414名に対して行った調査結果をまとめた報告書「The 2016 Security Pressures Report from Trustwave」を公開しました。調査対象の内訳は以下のようになっています。

 調査によれば、回答者の63%が2015年にはその前の12カ月よりも大きなプレッシャーを感じており、また、65%が今年は2015年よりもプレッシャーを感じることになるだろうと回答しています。この割合は前年の調査と比べて、それぞれ9ポイント、8ポイントの増加となっています。

 プレッシャーの内容としては、「高度な脅威」がトップ、続いて「新しい技術の採用」、3番目に「専門知識の不足」が挙げられています。中でも「専門知識の不足」は前年の調査での8番目から3番目へと急激に上昇しています。

 また、最もプレッシャーをかける存在は誰かとの問いに対する結果をまとめたのが以下の図です。

 その他にも報告書ではさまざまな観点でセキュリティ担当者がプレッシャーと感じるものについて調査していますが、中でも注目すべきは、ITプロジェクトに対してセキュリティよりもスピードを優先するように急かされた経験のあるセキュリティ担当者が77%に上るという点です。そのような経験が頻繁にあると回答したのは17%であり、60%は一度か二度だけとのことですが、どちらの数字も前年の調査と結果にほぼ変化がありません。

 また、現状のセキュリティ担当スタッフのリソースについても、87%が不十分と考えており、現状の2倍が必要と回答したのが52%、4倍が29%、それ以上と回答したのが6%となっています。

 セキュリティ担当者の責任が年々重くなってきている中、前年よりも大きなプレッシャーを感じている人が7割に満たないという結果は、予想よりも少ないという印象があります。同じ調査を日本で実施すれば違う結果が出るように思います。しかし、それ以外の項目については日本でも同様と考えられるものが少なくなく、特に人的リソースやスキルの不足、キャリアに対する不安といったポイントは、人材の確保や育成という面でも参考になる情報でしょう。

山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。