脅威検知のスピードはなぜ加速しているのか？ セキュリティの「4大変化」を読み解く：CIO Dive

サイバー攻撃の脅威が増す一方で、2021年は特にアジア地域でサイバー攻撃がこれまでよりも早く検知されるようになった。この背景にはサイバー攻撃の標的にされる企業側で起きた変化がある。一方でサイバー攻撃を仕掛ける脅威者の行動も変わりつつあるという。

[David Jones，CIO Dive]

　サイバーセキュリティ企業のMandiantが2022年4月9日に発表した「2022M-Trends report」（注1）によれば、ランサムウェアの増加やヨーロッパとアジア太平洋地域におけるサイバーセキュリティ企業の利用拡大などにより、2021年は世界的にサイバー攻撃が早く検知されるようになった。

　サイバー攻撃による侵害の発生から検知までに要した日数の世界全体の中央値は、2020年の「24日」から2021年は「21日」にまで短縮されたことがMandiantの調査で明らかになった。これは主にアジア太平洋地域における短縮が影響している。

　同地域における同日数の中央値は「76日」から「21日」に急減した。ヨーロッパや中東、アフリカでは「66日」から「48日」に短縮された。これらの地域では第三者機関がサイバー攻撃の大部分を検知しており、（サイバー攻撃を受けた企業自身が検知する割合の方が大きいという）これまでの傾向とは逆転した。

　南北アメリカにおける侵害の発生から検知までに要した日数の中央値は「17日」で横ばいが続く。同地域の侵入の60％は外部企業や他の情報源ではなく、企業のセキュリティチームが直接検知した。

企業と攻撃者双方で起きた「4つの変化」は？　

　侵害の発生から検知までに要した日数の短縮は重要だ。企業や政府のネットワーク内で脅威が発見されない時間が長くなれば長くなるほど、（脅威者にとっては）システム内で横方向に移動し、機密データを盗み、認証情報を外部に流出させ、電子メールにアクセスする時間的余裕が生じるからだ。