インシデント対応時間は短縮も…… Log4jの教訓を生かしきれていない企業たち：Cybersecurity Dive

サイバー攻撃への対応時間は2021年から2022年の間に29日から19日に改善された。これはLog4jの脆弱性の影響が大きいという。

[David Jones，Cybersecurity Dive]

　組織のサイバーレジリエンス能力を継続的に評価し、改善を支援するImmersive Labsが2023年8月2日（現地時間）に発表した調査によると（注1）、サイバー攻撃への対応時間の平均は、2021年から2022年の間に29日から19日に改善されたことが分かった。

インシデント対応プロセスの変更が対応日数の短縮につながっている

　対応時間の改善は、「Apache Log4j」（以下、Log4j）の脆弱（ぜいじゃく）性の危機や、期間中に発見されたその他の有名な脆弱性によるところが大きい。同調査は2022年4月〜2023年4月までの期間にわたるもので、110万回以上の演習とラボを含むサイバーシミュレーションを完了した組織から提供された結果に基づいている。

　同社のエマ・ストウェル氏（データ担当シニアディレクター）は「私たちが発見したのは、組織が新たな脅威への演習を発表してから終了するまでの日数が短くなっていることだ。これは組織が脅威に迅速に対処できるようになっていることを意味する」と話す。

　ストウェル氏によるとこの改善は、Log4jの脆弱性を狙った攻撃への対応の影響を受けて実施された社内のインシデント対応プロセスの変更に関連している可能性が高く、新たな脅威に備えることの重要性に対する認識が高まった結果だという。

　2021年12月に発見されたLog4jの脆弱性は、デジタルセキュリティに対するここ数年で最大の脅威の1つと考えられている。この脆弱性によって、認証されていないハッカーがわずかなコードを使用してシステムの制御権を得られるため、全世界の数百万のデバイスが攻撃のリスクにさらされた。

　2022年7月に米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）が発表した「Cyber Safety Review Board」によると（注2）、悪用された割合は予想よりはるかに低かったが、当局は脆弱性の完全な回復には数年かかると警告している。

　同調査では、近年企業が採用しているサイバーセキュリティのレジリエンス（回復力）に関するレベルも測った。Immersive Labsによると、セキュリティチームはインシデント対応時間は短縮しているものの、発生後の復旧に対処する準備がほとんどできておらず、サイバー攻撃の初期段階に対処することに重点を置いていることも分かったという。

（注1）Immersive Labs Global Study Finds Improved Response Time to Threats, Yet Resilience Efforts Still Fall Short（Buisiness Wire）
（注2）Log4j is far from over, cyber review board says（Cybersecurity Dive）

原文へのリンク