Tripwire 調査:侵害検知機能に自信過剰な金融サービス業界の IT プロフェッショナル
- 2016年06月16日 16:00:00
- マネー
- Dream News
エンドポイントにおけるサイバー攻撃の検知に必要な7 つの重要なセキュリティコントロールに関する自信度を業界リーダーが評価
トリップワイヤ・ジャパンは本日 2016年6月16日に「インフォグラフィック:金融サービス業界の IT プロフェッショナルは侵害検知機能について自信過剰?」および「調査:Tripwire 2016 金融サービス業界における侵害検知」を公開いたします。以下、2016年5月11日に米Tripwire, incが発表したプレス発表の抄訳です。
オレゴン州ポートランド、2016 年 5 月 11 日 - エンドポイント検知/対応、セキュリティ、コンプライアンスソリューションの主要なグローバルプロバイダであるTripwire, Inc. は、Tripwire の依頼により Dimensional Research 社が実施した調査の結果を発表しました。調査では、サイバー攻撃の発生を迅速に検知するために導入が必要とされる 7 つの重要なセキュリティコントロールの有効性に関し、IT プロフェッショナルの自信度を評価しました。調査ではさまざまな業種の 763 名の IT プロフェッショナルが回答し、このうちの 134 名が金融業界に属していました。
Identity Theft Resource Center の 2015 年侵害リストレポートは、2014 年から 2015 年にかけて、バンキング、クレジットおよび金融業界におけるデータ侵害件数が倍増したことを示しています。このような侵害インシデントの増加にもかかわらず、金融サービス業界の IT プロフェッショナルの大半は、自社のツールが侵害の重要な兆候を発見するまでの時間について不確かであると答えたにもかかわらず、データ侵害を検知する能力については高いレベルの自信を示しました。金融業界の回答者 の 60% が、自社のネットワークから不正なデバイスを隔離または削除するまでの時間について、『分からない』、あるいは『大まかにしか分からない』と答えているのにもかかわらず、87% は不正なデバイスがあれば数分あるいは数時間以内に隔離/削除できると考えています。
また、金融業界からの回答では次のような調査結果も報告されています。
・ネットワークデバイスの構成に不正な変更が行われた場合、自社の自動化ツールでその発生場所や部門などの重要な情報を特定できると答えているのは、わずか 37% であった。
・82% は、自社のネットワークデバイスの構成への不正な変更が行われた場合、数分あるいは数時間以内に検知できると考えている。しかしながら、59% の回答者は、このような検知にどのくらいの時間を要するのか正確には知らないと認めている。
・自社ネットワーク上で不正なデバイスが検知された場合、回答者の 92% は数分または数時間以内にアラートが発生するであろうと答えている。しかしながら5% は、自社のネットワーク上のハードウェア資産が自動検出されているのは 80% 以下と回答した。
・29% は、システム上のファイル、あるいはネットワーク上の共有ファイルへ、権限を持たないユーザからのアクセスがあってもすべてを検知できてはいないと回答した。
・40% は、典型的なパッチサイクルで適切に修正されるパッチの割合は 80% 以下であると回答した。
Tripwire の ITリスク/セキュリティ戦略担当ディレクタのティム・アーリンは、次のようにコメントしています。「コンプライアンスとセキュリティは別物です。ベストプラクティスの多くはコンプライアンス標準に義務付けられていますが、それらは通常『該当欄をチェックする』という方法で実施されます。コンプライアンスに対応さえしておけば、監査人を寄せ付けずに済むかもしれません。しかし、それだけではサイバー犯罪者に組織に侵入するための足掛かりを与えかねません。」
Tripwire の調査は、PCI DSS、SOX、NERC CIP、MAS TRM、NIST 800-53、CIS 20 Critical Controls、IRS 1075 などのさまざまなコンプライアンス規制によって要求される 7 つの重要なセキュリティコントロールを基に実施したものです。これらのコントロールは、US-CERT 勧告や、オーストラリア国防信号局提唱の標的型サイバー侵入に対する軽減戦略などの国際規格にも対応しています。
勧告および指針には次のものが含まれます:
・正確なハードウェア・インベントリ
・正確なソフトウェア・インベントリ
・継続的な構成管理とハードニング
・包括的な脆弱性管理
・パッチ管理
・ログ管理
・アイデンティティ/アクセス管理
組織全体でこれらのコントロールを導入した場合、世界に蔓延する危険なサイバー攻撃を防御するために必要となる具体的な情報が獲得できます。侵入の兆候を迅速に見つけだし、甚大な損害が発生する前に適切なアクションを起こすことが組織にとって必要不可欠です。Mandiant 社の M-Trends 2015 レポートでは、企業ネットワーク上で APT 攻撃を検知するまでに要する平均的な日数は 205 日と報告されています。また、Verizon 社の2016 年データ侵害調査レポートでは、標的型攻撃の 83% はその検出までに数週間要したことが示されています。
Tripwire のシニアセキュリティリサーチエンジニアの Travis Smith は次のようにコメントしています。「成熟したセキュリティを配備するには可視性の確保を避けては通れません。自分が見ることができないものを保護することはできないのです。自社の資産と侵入の可能性を把握しておけば、セキュリティチームは攻撃の対象となりやすい箇所に集中することができます。先を見据えて対応すれば、インシデント発生後に対応するよりコストを抑えることができます。」
その他のリソース:
インフォグラフィック:金融サービス業界の IT プロフェッショナルは侵害検知機能について自信過剰?
http://www.tripwire.com/it-resources/are-financial-services-it-pros-overconfident-in-data-breach-detection-skills/
調査:Tripwire 2016 金融サービス業界における侵害検知
http://www.tripwire.com/company/research/tripwire-2016-breach-detection-survey-finance-sector/
(本資料は、2016年5月11日に米Tripwire, Inc.が発表した情報の抄訳です)
http://www.tripwire.com/company/news/press-release/tripwire-study-financial-services-it-professionals-overconfident-in-breach-detection-capabilities/
Tripwireについて
Tripwireは企業、サービスプロバイダ、政府機関を対象とするエンドポイント検知/対応、セキュリティ、コンプライアンス、IT運用ソリュー ショ ンのリーディングプロバイダです。Tripwireのソリューションは、信頼性の高い資産の可視化機能および詳細なエンドポイントインテリジェンスをベー スに、ビジネス・コンテキストを組み合わせ、これらソリューションが一体となってセキュリティ/IT業務を統合、自動化しています。 Tripwireのエンタープライズ・クラス・ソリューションには、コンフィグレーション/ポリシー管理、ファイル整合性監視、脆弱性管理、ログ管理、レポート/分析が含まれています。
詳細については以下をご参照ください。
tripwire.com(米Tripwire, Inc.)
https://www.tripwire.com/
tripwire.co.jp(日本)
https://www.tripwire.co.jp/
また、セキュリティ関連のニュース、トレンド、および知見については以下をご参照ください。
ブログ:
THE STATE OF SECURITY(米Tripwire, Inc.)
http://www.tripwire.com/blog/
THE STATE OF SECURITY JP(日本)
http://www.tripwire.com/state-of-security-jp/
Twitter:
@TripwireInc(米Tripwire, Inc.)
https://twitter.com/TripwireInc
@TripwireJPN(日本)
https://twitter.com/TripwireJPN
本件に関する報道関係者からのお問い合わせ
トリップワイヤ・ジャパン株式会社
マーケティング部
電話番号:03-5206-8610
FAX:03-5206-8613
メールアドレス: press@tripwire.co.jp
太田光、今くるよさんしのぶ「いくよ師匠が亡くなってから寂しそうだった、痩せちゃって」
「虎に翼」直言の最期にネット反響「ぽかん」「あげくのナレ死」「お父さん…チャーミングすぎ」
太田光「小池百合子と蓮舫って究極の選択」都知事選に私見「俺、選べねーな、どっちも大好き」
ドジャース9回土壇場でスクイズ、同点に追いつき延長戦へ、大谷翔平は4打席まで無安打
「ロバーツ監督さすがです」 大谷翔平のダブルヘッダー2試合目完全休養にSNSで称賛の声
UL Solutionsがバッテリーエンクロージャ材料スクリーニング試験所を日本に開所、EV用バッテリーの安全性向上に貢献
渡辺直美、36歳で知った衝撃日本語を告白 あることわざを勘違いで「ぼうぼう」言ってた…
デフレの象徴、外食産業で10%以上の賃上げ続出 丸亀製麺の理由は
ドジャースが執念のスクイズで同点からの打線お目覚め 大谷翔平は5の0も連敗は5でストップ
ジョージアで「ロシア法」成立へ 反体制派の弾圧懸念 欧米は反発
何があった!?「エアコン」が想定外の壊れ具合!投稿者に話を聞いた
小倉優子、不自然な“二重ライン”にネット騒然「やっぱり整形?」
大原櫻子、ガーシー暴露後初のSNS投稿に賛否の声「イメージ最悪になった」
元めちゃイケメンバーの三中元克(32)現在は何をしているのか調べてみた!
玉置浩二の妻、青田典子(53)の現在がとんでもない事になっていると話題に
ユーチューバーもこう氏、元彼女・成海瑠奈について赤裸々告白
漫才師の今くるよさん死去 膵がんのため
ガーシーが綾野剛のLINE公開でネット騒然「ショック」「すごいエンタメ」
トミーズ健、父が遺した口座解約で銀行とトラブルも…「真実」にガックリ
藤田ニコル「初めてした日」ゆうちゃみ「体位とかも全部」親に明かしたギャル的「性事情」に騒然
何があった!?「エアコン」が想定外の壊れ具合!投稿者に話を聞いた
玉置浩二の妻、青田典子(53)の現在がとんでもない事になっていると話題に
岡本夏生(56)、1600日ぶりにブログを更新した現在が衝撃
ユーチューバーもこう氏、元彼女・成海瑠奈について赤裸々告白
元めちゃイケメンバーの三中元克(32)現在は何をしているのか調べてみた!
ヒカル、浮気相手とのLINE流出にドン引きの声「キモすぎる」「吐きそう」
ガーシーが綾野剛のLINE公開でネット騒然「ショック」「すごいエンタメ」
TikTokを賑わす「フエラムネごめんなサイダー味」がセブンイレブンで再販!じゅるるマスカットも買うなら今!
小倉優子、不自然な“二重ライン”にネット騒然「やっぱり整形?」
完全にダマされた! 『ラヴィット!』あのちゃん“事故レベル”大暴走は『水ダウ』遠隔操作のしわざだった ネットも納得
「虎に翼」直言の最期にネット反響「ぽかん」「あげくのナレ死」「お父さん…チャーミングすぎ」
太田光、今くるよさんしのぶ「いくよ師匠が亡くなってから寂しそうだった、痩せちゃって」
太田光「小池百合子と蓮舫って究極の選択」都知事選に私見「俺、選べねーな、どっちも大好き」
ドジャース9回土壇場でスクイズ、同点に追いつき延長戦へ、大谷翔平は4打席まで無安打
UL Solutionsがバッテリーエンクロージャ材料スクリーニング試験所を日本に開所、EV用バッテリーの安全性向上に貢献
「ロバーツ監督さすがです」 大谷翔平のダブルヘッダー2試合目完全休養にSNSで称賛の声
渡辺直美、36歳で知った衝撃日本語を告白 あることわざを勘違いで「ぼうぼう」言ってた…
ドジャースが執念のスクイズで同点からの打線お目覚め 大谷翔平は5の0も連敗は5でストップ
デフレの象徴、外食産業で10%以上の賃上げ続出 丸亀製麺の理由は
ジョージアで「ロシア法」成立へ 反体制派の弾圧懸念 欧米は反発