エフセキュアは、欧州で今月開催されている「欧州サイバーセキュリティ月間」に合わせて、企業がセキュリティ対策の取り組み状況を把握する上で役立つツールCyber Security Stress Test (サイバーセキュリティ ストレステスト)を新たに発表しました。Cyber Security Stress Testは、オンライン上で簡単に回答できるテスト形式の新ツールで、甚大な損害をもたらす情報漏洩などのリスクにさらされる脆弱性のチェックに役立ちます。
20問の質問項目からなるCyber Security Stress Testにより、企業のIT担当者はセキュリティ戦略において改善すべき点を発見することができます。エフセキュアが最近行った調査では、企業はセキュリティ対策の優先度に一致していないソリューションにコストを費やし、結果として防止すべきリスクにさらされているという状況が明らかになっています*。
調査から明らかになった例を挙げると、回答者の94%が、企業規模や業界に関わらず、企業はサイバー攻撃の標的になる可能性があると考えています。さらに回答者は、外部からのサイバー攻撃の阻止をセキュリティ上の最優先事項として捉え、回答者が選んだ最優先事項6つのうち4項目が外部からのサイバー攻撃の阻止に関するものでした。その一方で、サイバー攻撃対策に不可欠な、エンドポイントでの不正侵入の検出・防止対策を実施していると答えた回答者はわずか31%でした。
エフセキュアのサイバーセキュリティアドバイザーを務めるエルカ・コルホネンは、調査結果は、企業がセキュリティ対策にかける費用に見合った保護機能を得られていないことを表していると指摘し、次のように述べています。「現在のサイバー攻撃者は偵察に力を入れており、日和見的攻撃が標的型攻撃の情報収集に利用されています。IT担当者は自社システムを熟知し、脆弱性を把握して社内システムの保護に努めるべきです。セキュリティソフトをインストールしたあとは何の対策も講じないというのでは、現在の脅威動向に全く注意を払わないことに等しいのです。私たちは、そのような企業が代償を払うケースをたびたび目にしてきました」
Cyber Security Stress Testが扱う主な項目には、エンドポイントの保護、ネットワークセキュリティ、企業の役割とセキュリティポリシーなどが挙げられます。本テストは、セキュリティ対策における実行可能な改善点の特定に役立つ指標を提供することを目的としており、レベル1の「高リスク」からレベル5の「低リスク」まで5段階評価を行うとともに、企業のセキュリティ強化に役立つアドバイスも提供します。
Cyber Security Stress Testの枠組み作りに携わったコルホネンは、本テストは能力成熟度モデルに基づいて作成されており、中小企業が直面する典型的な脅威に対する保護能力を速やかに診断すると説明した上で、次のように述べています。「これらの脅威はネットワーク境界のセキュリティ管理を潜り抜け、ユーザが悪意のあるアプリケーションをインストールしたり機密情報を漏らすことを狙っています。その一方で、コンフィギュレーション管理において適切な対応がとられていないために、既存のエンドポイントセキュリティ製品が最適化されていないケースが多々あることを示すデータがあります。本テストはこの点について注意を喚起することを目的としています」
さらにコルホネンは、効果的なセキュリティ対策を実現するためには、複数のコンポーネントで構成された柔軟な技術ソリューションが必要であると述べています。エフセキュアの法人向けセキュリティ製品プロテクション サービス ビジネスとビジネス スイートを利用すれば、企業は自社のニーズに適合したソフトウェアコンポーネントを選択し、脅威動向の変化に対してセキュリティ対策を進化させることができます。
*出典:本調査は2015年4月26日〜5月16日の期間に実施され、ドイツ、フランス、ポーランド、ノルウェー、デンマーク、スウェーデン、フィンランド、英国の合計1,780人の回答者からデータを回収しました。
詳細情報:
Cyber Security Stress Test