要旨

世界中がパンデミックに見舞われ、在宅勤務が主流ともなっています。そしてランサムウェアがインターネット上で猛威を振るう中、世界的企業のインターネット上での情報の露出度を測定することは、これまで以上に重要になっています。今回のインターネット サイバーエクスポージャーレポート（ICER）では、インターネット上で、あるいはインターネットを介して事業を継続するため、また、CISO、ITセキュリティ担当者、およびその他の社内のビジネスパートナーが真っ向から取り組むためにも重要となる、5つのサイバーセキュリティ分野についてRapid7の研究者が評価しています。

1. 認証されたメールの送信と取り扱い（DMARC）
2. パブリックWebアプリケーション（HTTPSとHSTS）の暗号標準規格
3. Webサーバーとメールサーバーのバージョン管理（IIS、Nginx、Apache、Exchangeに着目）
4. インターネットに適さないリスクのあるプロトコル（RDP、SMB、およびTelnet)
5. 脆弱性開示プログラム（VDP）の急増

本レポートでは、日経銘柄企業225社に挙げられたトップ企業について、そのインターネット上のサイバーエクスポージャーについて調査を実施しました。各セクションには、セキュリティ担当者が今すぐ実践できる現実的かつ実用的なアドバイスも含まれています。これらのアドバイスは、日経225に属するCISOにとってだけでなく、これらトップ企業のメンバーとビジネスや規制上の関係性を持つセキュリティ専門家にとっても役立つものです。

2021年上半期を通して、Rapid7は世界の先進国5カ国を対象に、サイバーセキュリティの基礎となる5つの重要な分野について測定したレポートを公開しています。

1. 米国のFortune 500²
2. 英国のFTSE 350³
3. オーストラリアのASX 200⁴
4. ドイツのDeutsche Börse Prime Standard 314⁵
5. 日本の日経225（本レポート）

要旨

本レポートは、上記の分野をカバーする5つの詳細なセクションに分けられており、全体をまとめると次のとおりです。

• 日経225の電子メールに対するセキュリティ体制は、米国と英国に遅れをとっています。2021年初期の時点で、日経225の電子メールセキュリティは、米国と英国の同業者に追いついていません。米国と英国におけるDMARCの採用率はおよそ50%でしたが、日本で事業を展開する調査対象企業のうち、DMARCレコードを構成していたのは僅か13%で、その29社中の25社（約86％）はp=なし（またはパススルー）ポリシーを設定していました。つまり、日経225の企業のうち、DMARC p=隔離、またはp=拒否ポリシーを通じて、自社のブランド、従業員、顧客を保護するために積極的な対策を取っているのは、僅か4社（2%以下）のみということになります。

• 露出された、危険が伴うサービスについて日本ではあまり懸念されていません。Windows Remote Desktop（RDP）ファイル共有（SMB）とTelnetの危険なプロトコルの露出は、調査対象企業の間で依然として問題とされていますが、米国のFortune 500でみられたほどの問題とはなっていないようです。日経225の90%以上には、RDPとSMBに対するエクスポージャーがありませんでした。

• しかしながら、TelnetとHSTSについては依然として懸念されています。Telnetとなると話は別で、日経225の約27%には、インターネットに露出されている何らかのレガシーtelnetがありました。また、セキュアHTTP（HTTPS）の導入について見た場合、日経225の企業の100%がHTTPSを標準で使用していることがわかりましたが、常にHTTPSインフラが使用されるようにHSTSディレクティブを実装している上場企業は非常にわずかでした（18%）。

• バージョンの分散は日本で順調に進んでいます。日経225のうち、（マネージドクラウドインスタンスではなく）自社のExchangeサーバーを実行しているのは僅か16社にとどまっており、企業の約75%がサポートされている最新バージョンのインスタンスを最低でも1つ実行していました。とはいえ、Apacheでは93の異なるバージョン、Nginxでは75の異なるバージョン、そしてIISでは17の異なるバージョンが日経225で見られました。
• 日本のテクノロジー業界は、脆弱性の開示に単独で取り組んでいます。調査対象企業225社の中で見つかった16のVDPのうちのほぼすべてが、テクノロジー業界か、テクノロジーを多用する消費材企業に属していました。これは日本のテクノロジーにとってはかなり良いことですが、自社の製品やインフラにVDPを正規化していない他の日本企業にとってはあまり良いことではありません。

これらの調査結果を踏まえ、本レポートの以降のセクションでは、日経225で測定できるサイバーセキュリティの5つの各分野について調査しています。

詳しく見ていく前に、ここで1つ注意があります。あなたの組織がこういった事象の影響を受けていたり、今も影響を受けていたりする場合、緊急事態に対応することに時間とエネルギーを費やすばかりで、本レポートに解説されているような、より慢性的な問題に専念することはできないと感じられるかもしれません。私たちの目標は、組織が安全で強靭な状態になる（そしてそれを維持する）ことを支援することなので、そのためにいくつかの参考資料をご用意しました。以下のセクションへと進む前に、まずはそちらの参考資料をぜひご覧ください。

• ¹ https://indexes.nikkei.co.jp/en/nkave/index?type=index
• ² https://www.rapid7.com/research/report/2021-industry-cyber-exposure-report/
• ³ https://www.rapid7.com/research/reports/2021-industry-cyber-exposure-report-uk
• ⁴ https://www.rapid7.com/research/report/2021-industry-cyber-exposure-report-anz/
• ⁵https://www.deutsche-boerse-cash-market.com/dbcm-en/intrums-statistics/statistics/listes-companies