サイバーセキュリティ評価レポート

日経225銘柄企業の
サイバーエクスポージャー

ラピッドセブンのテクノロジーの最高峰を育むRapid7 Labsが日経225銘柄企業の2019年第2四半期におけるサイバーセキュリティの現状について業種別に統計データを明らかにしました。本レポートでは、サイバーエクスポージャーの課題と今後の対策を解説しています。

サイバーセキュリティ脅威が増大している中で、「サイバーエクスポージャー」対策への集中的な取り組みとその費用対効果の重要性は以前よりも増して高まってきています。ラピッドセブンのリサーチチームがまとめたレポートでは、サイバーエクスポージャーを「インターネットに接続されたサービスにおける外部公開設定の弱点」と定義しています。

業種別にサイバー攻撃に対するレジリエンス(耐性)について正確に把握しておくことはとても重要です。なぜなら、より正確なコストモデルを構築し、全業種でもっとも削減が必要なサイバーエクスポージャーに標的を絞るだけでなく、官⺠の協力活動の絆を強めてユーザーや企業の保護が強化をする必要があるからです。業界別のサイバーエクスポージャーを測定しておけば、サイバーセキュリティ情報とセキュリティ脅威の調査結果を収集し公開している業界各機関に情報提供が可能となるのです。

とりわけ、日本においてご存知の方は少ないとは存じますが、ラピッドセブンが、最新のインターネットの利用実態を反映した包括的でかつ正確な公開レポートを発行するのは、今回が4回目です。日本におけるサイバーエクスポージャーとレジリエンスが、現状、どのレベルにあるのか把握するために、Rapid7 Labs は、日経 225 銘柄企業[1]の 2019 年第2四半期におけるインターネットセキュリティの現状を測定し、以下の点について業種別の統計的なデータを明らかにしました。

  • 全体の攻撃面(サイバーエクスポージャーのあるサーバ/デバイスの台数)
  • 危険またはセキュリティが確保されていないサービスの存在
  • フィッシング対策の現状
  • 外部公開サービスとメタデータ設定の弱点

上記のサイバーセキュリティを測定することで、調査した各業界においてもっとも共通性のある問題に絞り込み、それぞれ対策について実践的で具体的なアドバイスが可能となります。今回、明らかになった弱点について考察する上で重要なのは、日経 225 銘柄企業が、一般的に IT やセキュリティを含め幅広い分野の業務で優秀な人材を確保できる企業である点です。そのような一流企業においてサイバーエクスポージャーがあるサービスに、さまざまな弱点が発見されるということは、外部公開のインターネットに対して少ない人材しか投入できない中小企業において、さらに重大な露出やリスクが存在している可能性を示唆しています。

今回の調査の結果、以下の点が明らかになりました:

  • 日経 225 銘柄企業は、平均 107 台のサーバ/デバイスの攻撃面のサイバーエクスポージャーがあります。また多くの企業が 750台のシステム/デバイスの攻撃面のサイバーエクスポージャーがあります。
  • 評価した日経 225 銘柄企業の 196 社 (87%)が、外部公開のメールのプライマリドメインの設定で、アンチフィッシング防御(DMARC など)を実施していないか、もしくは実施していても弱点があり、 13 社( 6%)が不正なレコード設定をしています。これは、これまで発行したラピッドセブンの業界別サイバーエクスポージャーレポート(ICER)の中で、アンチフィッシングに関してはもっとも弱点が大きいという結果となりました。[2]
  • 全体の 18%の日経 225 銘柄企業で、メインのWebサイトで SSL/TLS セキュリティ対応がされていなません。これにより、通信時にWebコンテンツの改ざんが可能なため、サイト訪問者は、さまざまな一般的で破壊的な悪意ある攻撃に晒されています。
  • 各業種において、少なくとも 1 社はマルウェアに感染しています。IT とコンシューマ製品の業界の企業においては、毎月、一定して感染の兆候が確認されています。全業種のインシデントは、企業のリソースに対する DoS 増幅攻撃にまで及ぶものから、WannaCry や NotPetya に類似した EternalBlue ベースのキャンペーンの兆候にまで多岐にわたります。
  • 日経 225 銘柄の全業種の企業で、どのクラウドサービスをいくつ利用しているか外部公開の DNS のメタデータから検知できます。46 社が 2〜5 社のクラウドサービスを利用しています。この情報により、他の方法と比較して非常に効率的で標的を明確にした攻撃が可能になっています。
  • Telnet や Windows SMB ファイル共有のような深刻な脆弱性を持つサービスは、ごくわずかな企業のみにサイバーエクスポージャーがあります。これは良い点です。
  • すべての業界で殆どの企業が、インターネットに接続されたシステムにおいて、古いソフトウエアに依存したサービスにサイバーエクスポージャーがあります。

上記の結果に関する詳細な内容については、こちらから全レポートの日本語版をダウンロードしていただけます。

[1] 日経 225 銘柄リスト:
https://indexes.nikkei.co.jp/en/nkave/index/component?idx=nk225 (2019 年 8 月 12 日時点情報)


[2] この数字は、米国がメインのフォーチュン 500 企業において 73%であり、オーストラリアが中心の ASX 200企業において 68%、また、英国が中心の FTSE 250 企業において 88%である。

ユーザー登録なしで今すぐお読みいただけるPDF版のダウンロードはこちら

今すぐダウンロード