サイバーセキュリティ脅威が増大している中で、「サイバーエクスポージャー」対策への集中的な取り組みとその費用対効果の重要性は以前よりも増して高まってきています。ラピッドセブンのリサーチチームがまとめたレポートでは、サイバーエクスポージャーを「インターネットに接続されたサービスにおける外部公開設定の弱点」と定義しています。
業種別にサイバー攻撃に対するレジリエンス(耐性)について正確に把握しておくことはとても重要です。なぜなら、より正確なコストモデルを構築し、全業種でもっとも削減が必要なサイバーエクスポージャーに標的を絞るだけでなく、官⺠の協力活動の絆を強めてユーザーや企業の保護が強化をする必要があるからです。業界別のサイバーエクスポージャーを測定しておけば、サイバーセキュリティ情報とセキュリティ脅威の調査結果を収集し公開している業界各機関に情報提供が可能となるのです。
とりわけ、日本においてご存知の方は少ないとは存じますが、ラピッドセブンが、最新のインターネットの利用実態を反映した包括的でかつ正確な公開レポートを発行するのは、今回が4回目です。日本におけるサイバーエクスポージャーとレジリエンスが、現状、どのレベルにあるのか把握するために、Rapid7 Labs は、日経 225 銘柄企業[1]の 2019 年第2四半期におけるインターネットセキュリティの現状を測定し、以下の点について業種別の統計的なデータを明らかにしました。
上記のサイバーセキュリティを測定することで、調査した各業界においてもっとも共通性のある問題に絞り込み、それぞれ対策について実践的で具体的なアドバイスが可能となります。今回、明らかになった弱点について考察する上で重要なのは、日経 225 銘柄企業が、一般的に IT やセキュリティを含め幅広い分野の業務で優秀な人材を確保できる企業である点です。そのような一流企業においてサイバーエクスポージャーがあるサービスに、さまざまな弱点が発見されるということは、外部公開のインターネットに対して少ない人材しか投入できない中小企業において、さらに重大な露出やリスクが存在している可能性を示唆しています。
今回の調査の結果、以下の点が明らかになりました:
上記の結果に関する詳細な内容については、こちらから全レポートの日本語版をダウンロードしていただけます。
[1] 日経 225 銘柄リスト:
https://indexes.nikkei.co.jp/en/nkave/index/component?idx=nk225 (2019 年 8 月 12 日時点情報)
[2] この数字は、米国がメインのフォーチュン 500 企業において 73%であり、オーストラリアが中心の ASX 200企業において 68%、また、英国が中心の FTSE 250 企業において 88%である。
ユーザー登録なしで今すぐお読みいただけるPDF版のダウンロードはこちら