気付いているが準備できていない – 企業はサイバー防御の構築に奮闘

By | 02月 9日, 2024 | サイバーセキュリティ, ニュース&トレンド  0 comments

航空会社医療機関から市議会や銀行まで、さまざまなターゲットに対する攻撃により、最近のニュースではサイバー攻撃に関する話題が増えてきました。しかし、多くの企業はサイバー犯罪者に後れを取っていると思われます。最近、Axisはサイバーセキュリティの状況をよく理解するために、パートナーのGenetec社と共同でビデオ監視システムのエンドユーザー175人を対象に調査を実施しました。

主な結果は以下のとおりでした:

  • 現在、多くの企業はサイバーセキュリティとその潜在的な影響について知っています。実際、回答者の87%が、自社がサイバーセキュリティを業務に対する重大なリスクとして優先したと答えています。
  • しかし、サイバー攻撃の脅威を軽減するための準備が十分にできていると感じているのは一部の企業 (15%) だけです。
  • 回答者の76%が資産の物理的な保護と安全性が自分たちの主要な責務であると述べましたが、旧式のシステムと比べて、サイバーセキュリティに対する脅威として攻撃の原因になる内部要因に触れた人は一人もいませんでした。

しかし、この最後の考え方は国際的な調査の結果とはまったく対照的です。そこでは、偶然または意図的な人的ミス、適切に設定されていないシステムや適切に保守されていないシステムが最も一般的な弱点として特定されています。たとえば、IBM X-Force Threat Intelligence Index 2018では、侵害された記録の3分の2がヒューマンエラーに起因すると考えられています。これは、以前のIBMの調査結果でも裏付けられています。そこでは、成功した侵害の95%以上がこれらの内部要因に起因すると考えられています。

もう1つの興味深い調査結果は、回答者の約60%が旧式のシステムに責任を押しつけていることでした。旧式のシステムは明かな弱点ですが、実際にはサイバー攻撃の脅威は、旧式のシステムと同様に最近開発されたフォームウェアやソフトウェアのバージョンにも関係があります。やはり、人工のものは100%安全ではありません。

これはよくある誤解を示しています。製品のセキュリティを高めることが脆弱性と脅威を軽減する唯一の方法であるという誤解です。それとは逆に、人間およびマシン間の両方で、企業は多くの側面にわたってサイバーリスクを管理する必要があります。サイバーセキュリティは、ユーザー、保守担当者、設置担当者、メーカー、コンサルタントなどの共同責任で維持されるからです。

適切なセキュリティ対策が日々行われるように、システムのユーザーと管理者には、明確なポリシー、プロセス、および手順が整っている必要があります。どんなデバイスやシステムがありますか?それらの責任者は誰ですか?それらを保守する時期と方法は?サイバーセキュリティが設定されたシステムを設計、展開、保守する間に重要ポイントが見つかります。つまり、コンサルタントはシステムの存続期間全体を通して、適切なサイバーセキュリティの機能と特性を勧める必要があります。通常、システムの展開および保守に責任を負うのは、インテグレーター、設置担当者、または専門のコンサルタントです。彼らには、ビデオ監視用のシステム、デバイス、コンポーネントを調達および展開し、すべての関連セキュリティシステムを保守するための信頼性の高いプロセスが必要です。

デバイスのメーカーには次のことが求められます:

  • 攻撃で悪用されかねない欠陥のリスクを最小化するために、製品の設計、開発、およびテストにサイバーセキュリティのベストプラクティスを適用する。
  • 製品を安全に展開および保守するための明確な手順を提供する。
  • デバイスのインベントリ、パスワード、ファームウェアのアップグレード、HTTPSおよびIEEE 802.1x証明書など、サイバーセキュリティの制御をシンプルで価格が手頃な手段で適用できる、デバイス管理ツールを提供する。
  • 重大な脆弱性が発見されたときに、脆弱性と利用可能なパッチについてパートナーとチャンネルに直ちに知らせる。

調査の回答者の多くには、遭遇する可能性があるさまざまなサイバー攻撃の脅威を管理するための全体的なアプローチが欠けていると思われます。最新のサイバー攻撃の記事の影響を受けていると思われる人もいますが、多くの新聞や報道機関では高度な攻撃に重点が置かれていて、購読者を増やすために人を引き付ける見出しが使用されています。また、最も一般的なリスク(意図的または偶然のシステムの誤用、適切に設定されていないシステム、適切に保守されていないシステムなど) には少ない対応余地しか与えられていません。

これらのリスクに取り組むには、サイバーセキュリティについて適切な訓練を受けた担当者と密接に連携することや、システムのすべての面で明確で実施可能なポリシー、プロセス、手順を設定することなど、さらに実際的で継続的なアプローチが必要です。こういう全体的な考え方に適応させることが、さまざまな種類のサイバーセキュリティの脅威を管理するための唯一の効果的な方法です。

既に優れたサイバーセキュリティへの道を歩んでいる人もいる一方で、重大性に気付き始めたばかりという人もいます。いずれにしても、最も重要なのは担当者や組織が日々適切な措置を講じることです。

どこから手を付けるか迷っていませんか?

サイバーセキュリティのシンプルなガイド

Tags: