- 週間ランキング
企業の80 %がパスワードポリシーを設定していないため、2021年にはデータ侵害により
過去最多のデータ漏洩が発生するだろうとサイバープロテクションのエキスパートが警告
※本リリースは2021年1月28日にスイスのシャフハウゼンで発表されたプレスリリースの抄訳です。
サイバープロテクションのグローバルリーダーであるアクロニスは本日、最新のサイバー攻撃の動向および現状のビジネス習慣に関する独自研究に基づいて、世界中の組織が今、データのプライバシーとセキュリティに対するグローバルな脅威に直面していると警告を発しました。アクロニスは国際的なデータプライバシーデーである1月28日にその研究結果を発表し、損害の大きい攻撃を受けないようにするためには直ちに行動する必要があると注意喚起しました。
Acronis Cyber Protectionオペレーションセンター(CPOC)のグローバルネットワークに所属するサイバーセキュリティエキスパートによる最新の研究によると、パスワードポリシーを設定していない企業は80 %に上ります。また、ビジネス環境で使用されているパスワードの15~20 %に企業名が含まれており、パスワードが簡単に漏洩してしまいます。最近注目された2つのデータ漏洩事件がこのことを物語っています。SolarWinds社は、同社製品のOrionが攻撃を受ける前から、アップデートサーバーの1つで「solarwinds123」という公に知られたパスワードが使われているとの警告を受けていました。また、米国の前大統領であるドナルド・トランプ氏のTwitterアカウントがハッキングされた原因は、パスワードが「maga2020!」だったからだと言われています。
サイバーセキュリティエキスパートは、パスワードポリシーを設定している組織内でも、多数がデフォルトのパスワードを使用していることを発見しました。それらのうち、最大で50%が弱いパスワードに分類されることも判明しました。
攻撃者はこれらの弱いパスワードが広範に利用されていることを承知しており、新型コロナウイルスの流行により、多くの従業員が自宅から仕事をしているため、リモートワーカーが所有するセキュリティレベルの低いシステムが標的となりました。アクロニスのアナリストは、2020年に総当たり攻撃の件数が急増したこと、およびパスワードリスト型攻撃(password stuffing attack)がフィッシング攻撃に続きサイバー攻撃として2番目に多く使用されたことを確認しました。アクロニスのサイバープロテクション研究所担当バイスプレジデントであるキャンディッド・ヴュースト(Candid Wüest)は次のように述べています。「新型コロナウイルスの流行によってリモートワークが急増した結果、クラウドベースのソリューションの導入が加速しました。しかし、その移行の際に、多くの企業はサイバーセキュリティおよびデータ保護の要件を適切に維持することができませんでした。今、それらの企業は、データプライバシーの確保が包括的なサイバープロテクション戦略、つまりはサイバーセキュリティとデータ保護を取り入れた戦略における重大な要素であり、リモートワーカーに対して、より強固な保護手段を講じる必要があることを認識しています」
財務上、評判上のリスク
ビジネス界では、自社や顧客のデータのプライバシーを確保するためには、より良質なサイバープロテクションが必要であることに気づいていますが、デジタルユーザー個人の意識にはまだ遅れがあります。従業員の48 %が、自宅から仕事をする際に、安全なデータ利用ルールに従う可能性が低いことを認めたという報告もあります。
リモートワーカーはパスワード漏洩対策に疎く、サイバーセキュリティ習慣に対して杜撰であるため、サイバー犯罪者が価値の高い企業データにアクセスして盗み取ることは容易です。そのため、アクロニスのCPOCアナリストは、2021年にはデータ流出による財務的な影響が急拡大すると予想しています。これは、企業の非公開データや機密情報を盗み取り、支払いを拒否すればそのデータを公開すると標的を脅迫する、ランサムウェア攻撃者の現在の傾向に似ています。昨年アクロニスの調査により、ランサムウェア攻撃を受けた後にデータ漏洩を経験した企業は世界中で1,000社に達することが明らかになりました。(https://www.acronis.com/ja-jp/blog/posts/akuronisu-saibaxie-wei-repoto-2021nian-haqiang-qing-nonian-ni)
より厳しい認証要件の導入
データ漏洩によってもたらされる金銭的な損害によるダウンタイム、市場での重大なイメージの悪化、あるいは規制違反による高額の罰金を回避するには、組織は企業データにアクセスするための認証要件を強化する必要があります。
アクロニスやその他のサイバーセキュリティエキスパートが推奨しているベストプラクティスは次のとおりです。
● 多要素認証(MFA)。企業のネットワーク、システム、VPNにアクセスするために2段階以上の検証手段を完了することをユーザーに求めるものであり、すべての組織で標準的に導入すべき認証手法です。パスワード認証と、指紋スキャンやモバイルアプリからのランダムなPINの入力などの検証方法とを組み合わせることによって、攻撃者がユーザーのパスワードを推測したり突破したりしたとしても、組織が保護されます。
● ゼロトラストモデルを採用することで、データのセキュリティとプライバシーを確保します。リモートワーカーでも、企業ネットワーク内部で業務を行う従業員でも、すべてのユーザーに対し、企業データおよびシステムを利用する際に本人確認を求め、その認証状態を証明させ、セキュリティを継続的に確認させる必要があります。
● ユーザーおよびエンティティの行動分析(UEBA)が、組織の保護の自動化に役立ちます。AIと統計分析によりユーザーの通常の活動を監視することによって、通常のパターンから外れた振る舞い、特にシステムが侵害されデータが盗み取られていることを示す振る舞いをシステムで検知できます。
2021年のデータプライバシーデーは、データプライバシーのリスクについて注目する絶好の機会です。アクロニスのCPOCの研究チームはすでに、今後の1年間にシステム管理者、マネージドサービスプロバイダー(MSP)、およびサイバーセキュリティ専門家に挑戦する新たなサイバー脅威の動向を明らかにしています。この分析については、最近リリースされたアクロニス サイバー脅威レポート(https://www.acronis.com/ja-jp/lp/cyberthreats-report-2020)で全文をご覧いただけます。
アクロニスについて
アクロニスは、データ保護とサイバーセキュリティが一体となった統合型の自動サイバープロテクションにより、安全性、アクセス性、プライバシー、真正性、セキュリティ(SAPAS)に関連する現代のデジタル社会の課題を解決します。サービスプロバイダーとIT専門家の要求に応える柔軟なデプロイメントモデルと、次世代型の画期的なアンチウイルス、バックアップ、ディザスタリカバリ、エンドポイント保護管理ソリューションによって、データ、アプリケーション、システムに対して上質のサイバープロテクションを提供します。受賞歴のあるAIベースのアンチマルウェアテクノロジーとブロックチェーンベースのデータ認証テクノロジーにより、クラウドからハイブリッド、さらにはオンプレミスまで、あらゆる環境を予測可能かつ低いコストで保護します。
2003年にシンガポールで設立され、2008年にスイスで法人化されたアクロニスは、現在18か国の33の拠点で1,500人を超える従業員を抱えています。アクロニスのソリューションは、550万人以上のホームユーザーと50万社以上の企業の信頼を得ており、この企業にはFortune 1000選出企業のすべてと一流プロスポーツチームが含まれています。アクロニスの製品は150か国以上の5万社のパートナーおよびサービスプロバイダー経由で提供され、40以上の言語でご利用いただけます。
Acronis(R)は米国、およびその他の国におけるAcronis International GmbHの登録商標です。
ここに記載されるその他すべての製品名および登録/未登録商標は、識別のみを目的としており、その所有権は各社にあります。
配信元企業:アクロニス・ジャパン株式会社
プレスリリース詳細へ
ドリームニューストップへ