写真●EMCジャパンRSA事業本部マーケティング部部長の水村明博氏
写真●EMCジャパンRSA事業本部マーケティング部部長の水村明博氏
[画像のクリックで拡大表示]
図1●インシデントレスポンス体制の調査結果
図1●インシデントレスポンス体制の調査結果
[画像のクリックで拡大表示]

 EMCジャパンRSA事業本部は2015年4月15日、セキュリティの脅威に早期対応する体制作りについて世界の大企業170社にアンケート調査した結果を発表した(写真)。これによると、大手企業の87%が、そもそも体制を整えていないか、または体制の維持管理が不十分だった。

 アンケート調査では、大企業の平均的な姿を表すデータとして、世界の大企業「Global 1000」のうち170社から回答を得た。調査期間は2014年12月から2015年2月。回答者の6割は米国企業で、日本を含むアジアは1割程度である。さらに、これと対比させるデータとして、セキュリティ先進企業19社で構成する協議会「SBIC:Security for Business Innovation Council」(ビジネス革新のためのセキュリティ協議会)のメンバー12社からも回答を得た。

 企業には、サイバー攻撃などのセキュリティ問題(インシデント)を早期に検知し、これに素早く対処(レスポンス)する組織体制作りが求められる。こうした組織は一般にCSIRT(シーサート)と呼ばれる。アンケートで「企業公認のインシデントレスポンス体制を備えているか」を聞いたところ、SBIC所属企業と一般大企業との間に大きな違いがあった(図1)。

 SBIC所属企業の100%がインシデントレスポンス体制を整備していたのに対して、一般大企業で体制を整備していたのは30%だけだった。しかも、体制を整備している企業で、体制の更新や見直しを実施している企業は30%の中の57%だけだった。つまり、体制を整備して維持管理している企業は約13%だけであり、残りの約87%は体制作りが不十分だった。マーケティング部部長の水村明博氏は、「現場だけでなく経営層がセキュリティを意識することが大切」と説く。

インテリジェンスの活用も半数にとどまる

図2●コンテンツインテリジェンスの調査結果
図2●コンテンツインテリジェンスの調査結果
[画像のクリックで拡大表示]
図3●分析インテリジェンスの調査結果
図3●分析インテリジェンスの調査結果
[画像のクリックで拡大表示]
図4●脅威インテリジェンスの調査結果
図4●脅威インテリジェンスの調査結果
[画像のクリックで拡大表示]

 調査ではさらに、セキュリティ脅威の削減や検知のためにインテリジェンス(役に立つ情報や仕組み)を用意しているかを調べた。具体的には、(1)コンテンツインテリジェンス(ログの相関分析などから得られる、脅威の状況が分かる情報)、(2)分析インテリジェンス(脅威を分析するために必要な、サーバーログやネットワークパケットのフォレンジック情報)、(3)脅威インテリジェンス(外部から購入できる攻撃者情報などの、脅威の検知/分析/対応に役立つ情報)、について調べた。

 例えば、(1)については、セキュリティ警告ログの収集と相関分析手法を備えている企業は、SBIC企業の100%に対して一般大企業は45%だけ(図2)。(2)については、全てのパケットを収集するネットワークフォレンジックを常時実施している企業は、SBIC企業の83%に対して一般大企業は42%だけ(図3)。(3)脅威情報を購入するなど外部ソースのデータを活用している企業は、SBIC企業の100%に対して一般大企業は43%だけ(図4)である。