インシデント対応時間は短縮も…… Log4jの教訓を生かしきれていない企業たち:Cybersecurity Dive
サイバー攻撃への対応時間は2021年から2022年の間に29日から19日に改善された。これはLog4jの脆弱性の影響が大きいという。
組織のサイバーレジリエンス能力を継続的に評価し、改善を支援するImmersive Labsが2023年8月2日(現地時間)に発表した調査によると(注1)、サイバー攻撃への対応時間の平均は、2021年から2022年の間に29日から19日に改善されたことが分かった。
インシデント対応プロセスの変更が対応日数の短縮につながっている
対応時間の改善は、「Apache Log4j」(以下、Log4j)の脆弱(ぜいじゃく)性の危機や、期間中に発見されたその他の有名な脆弱性によるところが大きい。同調査は2022年4月〜2023年4月までの期間にわたるもので、110万回以上の演習とラボを含むサイバーシミュレーションを完了した組織から提供された結果に基づいている。
同社のエマ・ストウェル氏(データ担当シニアディレクター)は「私たちが発見したのは、組織が新たな脅威への演習を発表してから終了するまでの日数が短くなっていることだ。これは組織が脅威に迅速に対処できるようになっていることを意味する」と話す。
ストウェル氏によるとこの改善は、Log4jの脆弱性を狙った攻撃への対応の影響を受けて実施された社内のインシデント対応プロセスの変更に関連している可能性が高く、新たな脅威に備えることの重要性に対する認識が高まった結果だという。
2021年12月に発見されたLog4jの脆弱性は、デジタルセキュリティに対するここ数年で最大の脅威の1つと考えられている。この脆弱性によって、認証されていないハッカーがわずかなコードを使用してシステムの制御権を得られるため、全世界の数百万のデバイスが攻撃のリスクにさらされた。
2022年7月に米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が発表した「Cyber Safety Review Board」によると(注2)、悪用された割合は予想よりはるかに低かったが、当局は脆弱性の完全な回復には数年かかると警告している。
同調査では、近年企業が採用しているサイバーセキュリティのレジリエンス(回復力)に関するレベルも測った。Immersive Labsによると、セキュリティチームはインシデント対応時間は短縮しているものの、発生後の復旧に対処する準備がほとんどできておらず、サイバー攻撃の初期段階に対処することに重点を置いていることも分かったという。
(注1)Immersive Labs Global Study Finds Improved Response Time to Threats, Yet Resilience Efforts Still Fall Short(Buisiness Wire)
(注2)Log4j is far from over, cyber review board says(Cybersecurity Dive)
関連記事
- 企業の「OSSただ乗り」はもう限界 Log4jの悪夢から何を学ぶか
Tideliftの調査によると、OSSの主要な製作者に対する報酬の格差が明らかになり、ソフトウェアのサプライチェーンを適切に保護する方法についての疑問が呈されている。 - Log4jの脆弱性の影響を受ける企業も 日本の時価総額上位25社のIT資産にサイバーリスク
Tenableは日本の時価総額上位25社の12万件以上のIT資産がサイバーリスクにさらされていると報告した。中にはTLS 1.0や旧版Log4Jをまだ利用中の企業もあった。 - GRIPS発の「インシデント報告書」は赤裸々に語られた“生きた事例”の宝庫だった
政策研究大学院大学(GRIPS)が不正アクセス被害に関する調査報告書を公開しました。侵害の経緯から原因、対策までを生々しくかつ非常に詳細にまとめています。セキュリティ担当者“必読の書”のポイントをまとめました。 - 脆弱性対応の“解像度”を高めよ アップデートだけでは全然足りない理由
「脆弱性対応=セキュリティアップデートを適用するだけ」という理解は少し解像度が低過ぎるかもしれない。岡田 良太郎氏がそもそも脆弱性対応とは何をどうすることなのか、近年注目のキーワード「SBOM」の意義とは何かなどを語った。
© Industry Dive. All rights reserved.