ウイルス

2021.04.30

NISC ランサムウエアによるサイバー攻撃に関する注意喚起について

こんにちは、丸山満彦です。

NISCの重要インフラチームがが連休を前に、「ランサムウエアによるサイバー攻撃に関する注意喚起について」を発表していますね。。。


万が一被害に遭った場合は、被害拡大防止の観点から、一人で解決しようとせず、警察など関係機関に御相談ください。


 

NISC

・2021.04.30 [PDF] ランサムウエアによるサイバー攻撃に関する注意喚起について

20210430-154438

 

端末やサーバ等のデータを暗号化し身代金を要求し、身代金を払わない場合は搾取した個人情報や機密情報を公表するぞと脅す、いわゆる二重脅迫が行われるケースも増えてきているので、厄介な問題ですよね。。。

チェックポイント等も記載してくれているので、参考になりますかね。。。

 

会社名 脆弱性 CVE(NIST) 参考URL
Fortinet 製  Virtual Private Network(VPN)装置 CVE-2018-13379 https://www.nisc.go.jp/active/infra/pdf/fortinet20201203.pdf
Ivanti 製  VPN 装置 Pulse Connect Secure CVE-2021-22893
CVE-2020-8260
CVE-2020-8243
CVE-2019-11510
https://blog.pulsesecure.net/pulse-connect-secure-security-update/
Citrix 製 Citrix Application Delivery Controller
Citrix Gateway
Citrix SD-WAN WANOP
CVE-2019-19781 https://support.citrix.com/article/CTX267027
Microsoft  Exchange Server  CVE-2021-26855 https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/
SonicWall  Secure Mobile Access (SMA) 100 シリーズ CVE-2021-20016 https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0001
QNAP Systems 製  NAS(Network Attached Storage)製品 QNAP CVE-2021-28799
CVE-2020-36195
CVE-2020-2509
https://www.qnap.com/en/security-news/2021/response-to-qlocker-ransomware-attacks-take-actions-to-secure-qnap-nas
Microsoft Windows のドメインコントローラー CVE-2020-1472 https://msrc.microsoft.com/update-guide/ja-jp/vulnerability/CVE-2020-1472

| | Comments (0)

MITRE ATT&CKのVer 9.0がリリースされましたね。。。

こんにちは、丸山満彦です。

MITRE ATT&CKのVer 9.0がリリースされましたね。。。

主な変更点はブログを見ればわかりやすいと思います。。。、まだ追いきれていませんが...(^^;;

MITRE ATT&CK

概要はBlogがわかりやすいです。

・2021.04.29 Data Sources, Containers, Cloud, and More: What’s New in ATT&CK v9? by Jamie Williams

Updated: A revamp of data sources (Episode 1 of 2) 更新:データソースの刷新(第1話/第2話)
Updated: Some refreshes to macOS techniques 更新:macOSの操作方法を一部変更しました。
New: Consolidation of IaaS platforms 新規: IaaSプラットフォームの統合
New: The Google Workspace platform 新規:Google Workspaceプラットフォーム
New: ATT&CK for Containers (and not the kind on boats) 新規:コンテナ(船の上にあるものではありません)のためののATT&CK

 

詳細はこちら。。。

Updates - April 2021

 

Twitter (MITRE ATT&CK) でも告知されています...

2021.04.29 

 


 

■ 関連

● まるちゃんの情報セキュリティきまぐれ日記

・2021.02.28 MITRE "Intelligence After Next"

・2020.11.18 MITRE : INTELLIGENCE AFTER NEXT: THE FUTURE OF THE IC WORKPLACE (自宅でインテリジェンス?)

・2020.10.28 MITRE ATT&CKのVer 8.0がリリースされましたね。。。

・2020.10.24 敵対的機械学習に対する脅威マトリックス (Adversarial ML Threat Matrix)

・2020.08.27 MITRE Shield vs MITRE ATT&CK

・2020.07.08 MITRE ATT&CKのVer 7.0がリリースされましたね。。。

| | Comments (0)

2021.04.23

CISA SUPERNOVAマルウェアに対するインシデントの対応

こんにちは、丸山満彦です。

CISAがSolarWindsに関連したSUPERNOVAマルウェアに対するインシデントの対応のための分析レポートを公表していますね。。。

CISA

・2021.04.22 CISA Incident Response to SUPERNOVA Malware

・2021.04.22 Analysis Report (AR21-112A) - CISA Identifies SUPERNOVA Malware During Incident Response

Supernovaについては、

・2021.01.27 Malware Analysis Report (AR21-027A) - MAR-10319053-1.v1 - Supernova

1_20210423064601

| | Comments (0)

2021.04.22

欧州データ保護監督官 (EDPS) 2020年次報告 - COVID-19状況下のデータ保護

こんにちは、丸山満彦です。

欧州データ保護監督官 (European Data Protection Supervisor: EDPS) の2020年次報告書が公開されていますね。

EDPSの活動の他、個人データの侵害件数等、のデータも少しありますね。。。

 

● European Data Protection Supervisor: EDPS

・2021.04.19 (press) EDPS Annual Report 2020: data protection during COVID-19

・2021.04.19 Annual Report 2020

・[PDF] Full Text

20210421-150651 

・[PDF] Exective Summary

20210421-173649 

 

Full Textの目次と図表です。。。

 

FOREWORD 序文
MISSION, VALUES AND PRINCIPLES ミッション、バリュー、プリンシプル
EDPS STRATEGY 2020-2024 EDPS戦略2020-2024
CHAPTER 1: ABOUT THE EDPS 第1章 EDPSについて
1.1 Supervision and Enforcement 1.1 監督と執行
1.2 Policy and Consultation 1.2 政策と協議
1.3 Technology and Privacy 1.3 テクノロジーとプライバシー
1.4 The EDPS works on transversal issues 1.4 EDPSは横断的な問題に取り組んでいる
CHAPTER 2: THE EDPS’ 2020 HIGHLIGHTS 第2章 EDPSの2020年のハイライト
2.1 Data protection in a global health crisis 2.1 世界的な健康危機におけるデータ保護
2.2 EUIs’ compliance with data protection law 2.2 EUIのデータ保護法への対応
2.3 Safeguarding digital rights 2.3 デジタル権の保護
2.4 Monitoring technologies 2.4 テクノロジーの監視
2.5 The EDPS as a member of the EDPB 2.5 EDPBのメンバーとしてのEDPS
2.6 International cooperation in data protection 2.6 データ保護のための国際協力
2.7 Internal administration 2.7 内部管理
2.8 Communicating data protection 2.8 データ保護の伝達
2.9 Key Performance Indicators 2.9 主要業績評価指標
CHAPTER 3: 2020 — AN OVERVIEW 第3章 2020年 - 概要
3.1 Data Protection amid a global health crisis 3.1 世界的な健康危機の中でのデータ保護
3.2 Safeguarding EU digital rights 3.2 EUのデジタル権を守る
3.3 Supervising European institutions, bodies and agencies (EUIs) 3.3 欧州の機関・団体・組織(EUI)の監督
3.4 Supervising Area of Freedom, Security and Justice 3.4 自由・安全・正義の領域の監督
3.5 Technology and Privacy 3.5 テクノロジーとプライバシー
3.6 Legislative Consultations 3.6 立法機関への諮問
3.7 The EDPS as a member of the EDPB 3.7 EDPBのメンバーとしてのEDPS
3.8 International Cooperation 3.8 国際協力
3.9 Cooperation with Civil Society 3.9 市民社会との協力
CHAPTER 4: TRANSPARENCY AND ACCESS DOCUMENTS 第4章 透明性とアクセス文書
CHAPTER 5: THE SECRETARIAT 第5章 事務局
5.1 Information and Communication 5.1 情報とコミュニケーション
5.2 Administration, budget and staff 5.2 管理、予算およびスタッフ
CHAPTER 6. THE DATA PROTECTION OFFICER AT THE EDPS 第6章 EDPSにおけるデータ保護担当者
6.1 Accountability 6.1 説明責任
6.2 Enquiries and complaints 6.2 照会および苦情
6.3 Advising the EDPS 6.3 EDPSへの助言
6.4 Awareness-raising 6.4 アウェアネス・レイジング
6.5 Collaboration with DPOs of other EUIs 6.5 他のEUIのDPOとの連携
CHAPTER 7. ANNEXES 第7章 附属書
Annex A Legal Framework 附属書A 法的枠組み
Annex B Extract from Regulation (EU) 2018/1725 附属書B 規則(EU)2018/1725の抜粋
Annex C List of Data Protection Officers 附属書C データ保護担当者のリスト
Annex D List Of Opinions and Formal Comments 附属書D 意見と正式なコメントのリスト
Annex E List of Consultations and Prior Consultations 附属書E 協議および事前協議のリスト
Annex F Speeches by the Supervisor 附属書F 監督者のスピーチ
Annex G The EDPS 附属書G EDPSについて
   
TABLES AND GRAPHS 表とグラフ
Figure 1 EDPS KPI analysis table 図1 EDPSのKPI分析表
Figure 2 Number of complaints received 図2 苦情受付件数の推移
Figure 3 Evolution of the number of complaints, including admissible complaints, received by the EDPS 図3 EDPS が受理した苦情数(認容性のある苦情を含む)の推移
Figure 4 Europol statistics 図4 Europol統計
Figure 5 Number of personal data breach notifications per month 図5 月間の個人データ侵害通知数
Figure 6 Number of Personal Data Breach Notifications per month for the years 2019 and 2020 図6 2019 年および 2020 年の 1 ヶ月あたりの個人データ侵害通知数
Figure 7 Type of submission on personal data breach notifications in the year 2019 and 2020 図7 2019 年と 2020 年の個人データ侵害通知に関する提出物の種類
Figure 8 Type of Data Breach Notifications 図8 データ違反通知の種類
Figure 9 Root Cause of the personal data breach incidents 図9 個人データ侵害インシデントの根本原因
Figure 10 Root Cause of the personal data breach incidents - Comparison 2019-2020 図10 個人データ侵害インシデントの根本原因 - 2019 年と 2020 年の比較
Figure 11 Number of individuals affected from personal data breach incidents 図11 個人データ侵害インシデントで影響を受けた個人の数
Figure 12 Special categories of data in personal data breach incidents 図12 個人データ侵害インシデントにおけるデータの特別なカテゴリー
Figure 13 Number of personal data breach where the controller informed the data subject 図13 管理者がデータ対象者に通知した個人データ侵害の件数
Figure 14 Social media statistics 図14 ソーシャルメディアの統計

 


■ 関連

● EDPS -  Our work by topics

・ COVID 19

・2019.10.21  (press)  EDPS investigation into IT contracts: stronger cooperation to better protect rights of all individuals

・2020.09.28 Joint Parliamentary Scrutiny Group on Europol (JPSG) - Wojciech Wiewiórowski

・2020.10.29 Strategy for EU institutions to comply with “Schrems II” Ruling

欧州データ戦略に対する意見

・2020.06.20 [PDF] Opinion 3/2020 on the European strategy for data

20210421-174659

欧州委員会「AI白書 - 卓越性と信頼性のための欧州的アプローチ」に対する意見 

・2020.06.29 [PDF] Opinion 4/2020 EDPS Opinion on the European Commission’s White Paper on Artificial Intelligence – A European approach to excellence and trust

20210421-175303

オンラインでの児童性的虐待関連

・2020.11.10 [PDF] Opinion 7/2020 on the Proposal for temporary derogations from Directive 2002/58/EC for the purpose of combatting child sexual abuse online

20210421-180644

健康データ関連

・2020.11.17 [PDF] Preliminary Opinion 8/2020 on the European Health Data Space

20210421-181153


科学研究データ関係

・2020.01.06 [PDF] A Preliminary Opinion on data protection and scientific research

20210421-181717

 

EDPSの中期計画(2020-2024)

・2020.06.30 Shaping a safer digital future The EDPS Strategy 2020-2024

・2020.06.30 [PDF] Shaping a safer digital future The EDPS Strategy 2020-2024

20210421-182416


■ 関連

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.04.09 EUデータ保護当局 (EDPB/EDPS) は、デジタルグリーン証明書の提案についての共同意見を採択

・2021.03.15 欧州データ保護監督官 (EDPS) が欧州のサイバーセキュリティ戦略とネットワークおよび情報システムのセキュリティに関する改訂された指令(NIS 2.0)を歓迎すると表明

・2021.03.14 欧州データ保護委員会 (EDPB)・欧州データ保護監督官 (EDPS) データガバナンス法に関する共同意見を採択

| | Comments (0)

2021.04.16

JNSA デジタル署名検証ガイドライン

こんにちは、丸山満彦です。

JNSAが「デジタル署名検証ガイドライン」を公表していますね。。。このガイドラインは、”電子署名のうち公開鍵暗号技術に基づくデジタル署名について検証のガイドライン”を示すものということのようです。

● JNSA

・2021.04.15 デジタル署名検証ガイドライン

・2021.03.31 [PDF] デジタル署名検証ガイドライン 第 1.0 版

20210416-13920

 



 

 

 

Continue reading "JNSA デジタル署名検証ガイドライン"

| | Comments (0)

2021.04.15

カプコン 不正アクセスに関する調査結果のご報告【第4報】

こんにちは、丸山満彦です。

2020.11.16に【プレスリリース】不正アクセスによる情報流出に関するお知らせとお詫びをしたカプコンさんですが、2021.04.13に不正アクセスに関する調査結果のご報告【第4報】を公表していますね。

 

● カプコン

・2021.04.13 不正アクセスに関する調査結果のご報告【第4報】

 

身代金については、


6.身代金額に関する認知について

ランサムウェアに感染した機器上には攻撃者からのメッセージファイルが残置されており、攻撃者との交渉に向けたコンタクトを要求されたことは事実ですが、同ファイルには身代金額の記載はありませんでした。既報の通り、当社は警察とも相談の上、攻撃者との交渉をしないことといたしましたので、実際には、一切コンタクトも図っていないことから(2020年11月16日発表のプレスリリース参照)、当社では金額を確知しておりません。


となっていますね。

米国でもランサムウェアの攻撃者に対して身代金を払うことは推奨しない立場ですね。。。

参考↓

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.10.30 米国CISA 経済的利益を目的としてヘルスケア業界をターゲットにしたサイバー犯罪者が、ランサムウェアをシステムに感染させるために使用する、戦術・技術・手順(TTP)の説明

 

ちなみに、カプコンさんは、今回の事件を契機に、「セキュリティ監督委員会」を2021年1月下旬に発足していますが、外部専門家として、


立命館大学 上原哲太郎 教授、英知法律事務所 岡村久道 弁護士、大阪大学 猪俣敦夫 教授、PwCコンサルティング合同会社 丸山満彦 パートナー


と公表されていまして、私も外部専門家に入っております。ということで、この件については公開情報のみということで(^^)

↓Ransomwareをまるちゃんブログで検索... 

1_20210415075201

 

| | Comments (0)

2021.04.08

IPA 「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」

こんにちは、丸山満彦です。

IPAが「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」を公開していますね。。。

● IPA

・2021.04.07 「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」


本調査では、主に以下のことが明らかになりました。

  • コロナ禍でやむを得ず認めたセキュリティ対策の例外や特例が現状も継続している組織があること
  • 規定・規則・手順などが取り決められていても、委託元の5割5分が、従業員が規定・規則・手順を守れているかどうかの確認を実施していないこと
  • ニューノーマルに関する業務委託契約は進んでいないこと

 

20210408-24531

| | Comments (0)

ENISA 病院におけるサイバーセキュリティのための調達ガイドライン(オンライン版)

こんにちは、丸山満彦です。

ENISAが病院におけるサイバーセキュリティのための調達ガイドライン(オンライン版)を公表していますね。。。

2020.02.24に発行され病院におけるサイバーセキュリティの調達ガイドラインの使用を容易にするために、作られたツールという位置付けのようですね。。。

● ENISA

・2021.04.07 (press) Procurement Guidelines for Cybersecurity in Hospitals: New Online tool for a Customised Experience!

The new tool helps healthcare organisations identify best practices in order to meet cybersecurity needs when procuring products or services.

Online Tools

20210408-23839


■ 参考

●まるちゃんの情報セキュリティ気まぐれ日記

・2021.01.22 ENISA 「ヘルスケアサービスのためのクラウドセキュリティー」を公表

・2020.10.30 米国CISA 経済的利益を目的としてヘルスケア業界をターゲットにしたサイバー犯罪者が、ランサムウェアをシステムに感染させるために使用する、戦術・技術・手順(TTP)の説明

・2020.05.16 Tropic Trooperが台湾、フィリピンの政府、軍、医療機関等の物理的に分離されたネットワークをターゲットにUSBフェリー攻撃 by Trendmicro

2020.02.25 ENISA Procurement Guidelines for Cybersecurity in Hospitals

 

 

 

 

| | Comments (0)

2021.03.26

IPA 「情報セキュリティ10大脅威 2021」簡易説明資料(組織編、個人編)揃いました。。。

こんにちは、丸山満彦です。

IPA が発表している「情報セキュリティ10大脅威 2021」についての簡易説明資料(個人編)が発表され(組織編)と合わせて揃いましたね。。。

● IPA

・2021.03.25 「情報セキュリティ10大脅威 2021」 簡易説明資料 [個人編] を公開しました。

20210326-65315

 

日本の政府関連の啓発資料って、予算の問題があるのかもしれませんが、レイアウト、絵、フォントってもう少しなんとかなりませんかね。。。

ビジネス上の資料で引用しにくいですよね。。。

まぁ、ひとりごとですけどね。。。


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.02.27 IPA 「情報セキュリティ10大脅威 2021」解説書を発表してますね。。。

過去の発表資料等もまとめていたりするので、こちらも参考にしてくださいませ。。。

2021.01.28 IPA 「情報セキュリティ10大脅威 2021」を発表してますね。。。

 

 

 

| | Comments (0)

英国 デジタル・文化・メディア・スポーツ省 「サイバーセキュリティ侵害調査報告書2021」

こんにちは、丸山満彦です。

英国 デジタル・文化・メディア・スポーツ省 が「サイバーセキュリティ侵害調査報告書2021」を公表していますね。。。

 

● U.K. Department for Digital, Culture, Media & Sport

・2021.03.24 (press) Businesses urged to act as two in five UK firms experience cyber attacks in the last year


Two in five businesses (39 per cent) and a quarter of charities (26 per cent) report having cyber security breaches or attacks in the last 12 months.

・(Official Statistics) Cyber Security Breaches Survey 2021

・[html] Cyber Security Breaches Survey 2021

・[pdf] Cyber Security Breaches Survey 2021

20210325-171535

 

Summary 概要
This sixth survey in the annual series continues to show that cyber security breaches are a serious threat to all types of businesses and charities. Among those identifying breaches or attacks, their frequency is undiminished, and phishing remains the most common threat vector. 第6回目となる今回の調査では、あらゆる企業やチ慈善団体にとって、サイバーセキュリティ侵害が深刻な脅威であることが引き続き明らかになりました。侵害や攻撃を確認した企業では、その頻度は低下しておらず、脅威の手段としては依然としてフィッシングが最も一般的です。
Four in ten businesses (39%) and a quarter of charities (26%) report having cyber security breaches or attacks in the last 12 months. Like previous years, this is higher among medium businesses (65%), large businesses (64%) and high-income charities (51%)[footnote 1]. 企業の10社に4社(39%)、慈善団体の4分の1(26%)が、過去12ヶ月間にサイバーセキュリティ侵害や攻撃を受けたと回答しています。例年同様、中規模企業(65%)、大規模企業(64%)、高所得者向け慈善団体(51%)で高くなっています[脚注1]。
This year, fewer businesses are identifying breaches or attacks than in 2020 (when it was 46%), while the charity results are unchanged. This could be the result of a reduction in trading activity from businesses during the pandemic, which may have inadvertently made some businesses temporarily less detectable to attackers this year. 今年は、侵害や攻撃を特定している企業が2020年(46%)に比べて少なく、慈善団体の結果は同じです。これは、パンデミックの際に企業の取引活動が減少した結果、今年は一部の企業が攻撃者から一時的に検知されにくくなった可能性があります。
However, other quantitative and qualitative evidence from the study suggests that the risk level is potentially higher than ever under COVID-19, and that businesses are finding it harder to administer cyber security measures during the pandemic. For example, fewer businesses are now deploying security monitoring tools (35%, vs. 40% last year) or undertaking any form of user monitoring (32% vs. 38%). Therefore, this reduction among businesses possibly suggests that they are simply less aware than before of the breaches and attacks their staff are facing. しかし、今回の調査で得られたその他の定量的・定性的証拠は、COVID-19のリスクレベルがこれまで以上に高くなっている可能性を示唆しており、企業はパンデミックの間、サイバーセキュリティ対策を実施することが難しくなっていると考えられます。例えば、セキュリティ監視ツールを導入している企業は35%(昨年は40%)、何らかの形でユーザを監視している企業は32%(同38%)と、いずれも減少しています。このような減少は、従業員が直面している侵害や攻撃に対する認識が以前よりも低下していることを示唆していると考えられます。
Among those that have identified breaches or attacks, around a quarter (27% of these businesses and 23% of these charities) experience them at least once a week. The most common by far are phishing attacks (for 83% and 79% respectively), followed by impersonation (for 27% and 23%). Broadly, these patterns around frequency and threat vectors are in line with the 2020 and 2019 results. 侵入や攻撃を認識している企業のうち、約4分の1(企業の27%、慈善団体の23%)が少なくとも週に1回は侵入や攻撃を経験しています。最も多いのはフィッシング攻撃(それぞれ83%と79%)で、次いでなりすまし(27%と23%)となっています。これらの頻度と脅威のベクトルに関するパターンは、おおむね2020年と2019年の結果と一致しています。
A sizeable number of organisations that identify breaches report a specific negative outcome or impact. On average, for those that do, the costs are substantial. 違反行為を発見した組織のうち、かなりの数の組織が特定の悪い結果や影響を報告しています。報告された組織の平均的なコストは相当なものです。
Among the 39 per cent of businesses and 26 per cent of charities that identify breaches or attacks, one in five (21% and 18% respectively) end up losing money, data or other assets. One-third of businesses (35%) and four in ten charities (40%) report being negatively impacted regardless, for example because they require new post-breach measures, have staff time diverted or suffer wider business disruption. 侵害や攻撃を確認した企業の39%と慈善団体の26%のうち、5人に1人(それぞれ21%と18%)が、最終的に金銭、データ、その他の資産を失っています。また、3分の1の企業(35%)と10人に4人の慈善団体(40%)は、侵害後に新たな対策が必要になったり、職員の時間が流用されたり、より広範なビジネス上の混乱に見舞われたりするなど、悪影響を受けたと報告しています。
These figures have shifted gradually over time – the proportions experiencing negative outcomes or impacts in 2021 are significantly lower than in 2019 and preceding years. This is not due to breaches or attacks becoming less frequent, with no notable change in frequency this year. Instead, it may, in part, be due to more organisations implementing basic cyber security measures following the introduction of the General Data Protection Regulation (GDPR) in 2018. It could also reflect other trends such as the rising use of cloud storage and backups. これらの数字は、時間の経過とともに徐々に変化しており、2021年にマイナスの結果や影響を受けた割合は、2019年およびそれ以前の年に比べて大幅に減少しています。これは、侵害や攻撃の頻度が低くなったことによるものではなく、今年も頻度に目立った変化はありません。むしろ、2018年に一般データ保護規則(GDPR)が導入されたことで、基本的なサイバーセキュリティ対策を実施する組織が増えたことが一因と考えられます。また、クラウドストレージやバックアップの利用が増えていることなど、他のトレンドを反映している可能性もあります。
Nevertheless, where businesses have faced breaches with material outcomes, the average (mean) cost of all the cyber security breaches these businesses have experienced in the past 12 months is estimated to be £8,460. For medium and large firms combined, this average cost is higher, at £13,400. There are too few charities in the sample to report average costs in this way, but the overall costs recorded for businesses and charities follow a similar pattern. とはいえ、企業が重大な結果を伴う侵害に直面した場合、これらの企業が過去12カ月間に経験したすべてのサイバーセキュリティ侵害の平均(平均)コストは8,460ポンドと推定されます。中堅企業と大企業であれば、この平均コストはさらに高くなり、13,400ポンドとなります。サンプルに含まれる慈善団体の数が少なすぎるため、この方法で平均コストを報告することはできませんが、企業と慈善団体で記録された全体的なコストは同じ傾向を示しています。
Despite COVID-19 stretching many organisation’s cyber security teams to their limits, cyber security remains a priority for management boards. But it has not necessarily become a higher priority under the pandemic. COVID-19によって多くの組織のサイバーセキュリティチームが限界に達しているにもかかわらず、サイバーセキュリティは依然として経営陣の優先事項となっています。しかし、パンデミックの影響で、必ずしも優先順位が高くなったわけではありません。
Three-quarters (77%) of businesses say cyber security is a high priority for their directors or senior managers, while seven in ten charities (68%) say this of their trustees. While there have been minor fluctuations in these findings over the past three years, cyber security remains a higher priority compared to when we first surveyed each group (i.e. 69% in 2016 for businesses and 53% in 2018 for charities). 企業の4分の3(77%)は、取締役や上級管理職にとってサイバーセキュリティが最優先事項であると回答しており、慈善団体の7割(68%)は、評議員が同様の回答をしています。過去3年間でこれらの調査結果には若干の変動がありますが、それぞれのグループを最初に調査したときと比較すると、サイバーセキュリティは依然として高い優先度となっています(例:企業は2016年に69%、慈善団体は2018年に53%)。
Half of businesses (50%) and four in ten charities (40%) update their senior management teams about the actions taken on cyber security at least quarterly, in line with the 2020 results. However, the percentage of charities reporting that their senior managers are never updated on cyber security has increased since last year (to 23%, vs. 12% in 2020). 企業の半数(50%)と慈善団体の4割(40%)は、2020年の結果と同様に、少なくとも四半期ごとに、サイバーセキュリティに関する行動について上級管理チームに報告しています。しかし、上級管理職がサイバーセキュリティに関するアップデートを受けたことがないと回答した慈善団体の割合は、昨年より増加しています(23%、2020年は12%)。
Overwhelmingly, businesses (84%) and charities (80%) say COVID-19 has made no change to the importance they place on cyber security. The qualitative research suggests that some organisations have increased their investment in IT and cyber security in response to the pandemic. Many organisations adopted new security solutions, including cloud security and multi-factor authentication, or new rules requiring VPN connections to access files. 企業(84%)と慈善団体(80%)の圧倒的多数が、COVID-19によってサイバーセキュリティに置く重要性に変化はないと答えています。定性調査によると、パンデミックに対応して、ITやサイバーセキュリティへの投資を増やした組織もあるようです。多くの組織では、クラウドセキュリティや多要素認証などの新しいセキュリティソリューションを採用したり、ファイルにアクセスする際にVPN接続を必要とする新しいルールを導入したりしました。
These changes were often characterised as being about business and IT service continuity. However, in some cases, interviewees felt that management boards and end users did not fully appreciate the role of cyber security in facilitating long-term business continuity. In the immediacy of the pandemic, cyber security measures were sometimes viewed in the short term as being in conflict with business continuity, rather than complementing it. このような変化は、多くの場合、ビジネスとITサービスの継続性に関わるものとされています。しかし、経営陣やエンドユーザーが、長期的な事業継続を促進するためのサイバーセキュリティの役割を十分に理解していないと感じるケースもありました。パンデミックが発生した直後は、サイバーセキュリティ対策は短期的には事業継続を補完するものではなく、事業継続と相反するものとみなされることがありました。
The COVID-19 pandemic has led to significant changes in ways of working. This has made cyber security harder for many organisations. COVID-19のパンデミックは、仕事のやり方に大きな変化をもたらしました。このことが、多くの組織にとってサイバーセキュリティを難しくしています。
In qualitative interviews, many organisations explained that COVID-19 and the ensuing move to home working initiated substantial changes in their digital infrastructure. Many issued laptops or tablets to staff, set up Virtual Private Networks (VPNs) or expanded existing VPN capacity, started using cloud servers and had to quickly approve new software. In a new question this year, the survey finds that a third of businesses (34%) and a fifth of charities (20%) have a VPN. インタビューでは、多くの組織が、COVID-19とそれに伴う在宅勤務への移行によって、デジタルインフラの大幅な変更を余儀なくされたと説明しています。多くの企業は、職員にノートPCやタブレットを支給し、仮想プライベートネットワーク(VPN)を構築したり、既存のVPNの容量を拡大したり、クラウドサーバの使用を開始したり、新しいソフトウェアを迅速に承認しなければなりませんでした。今回の調査で新たに聞いた設問で、企業の3分の1(34%)、チャリティ団体の5分の1(20%)がVPNを導入していることがわかりました。
These changes have led to new challenges for organisations to contend with, as part of their cyber security management approaches: このような変化に伴い、組織はサイバーセキュリティ管理アプローチの一環として、新たな課題に取り組むことになりました。
・Direct security and user monitoring have become harder in organisations where staff are working remotely. As previously noted, fewer businesses are deploying security monitoring tools than in 2020 (down from 40% to 35%). Fewer businesses (32%, vs. 38% in 2020) and charities (29% vs. 38%) are now undertaking any form of user monitoring. ・職員がリモートで仕事をしている組織では、直接的なセキュリティとユーザの監視が難しくなっています。前述のとおり、セキュリティ監視ツールを導入している企業は、2020年に比べて減少しています(40%から35%に減少)。また、何らかの形でユーザー監視を行っている企業(32%、2020年は38%)や慈善団体(29%、38%)も少なくなっています。
・Upgrading hardware, software and systems has also become more difficult. With staff working at home, there are more endpoints for organisations to keep track of. Fewer businesses (83%, vs. 88% in 2020) and charities (69% vs. 78%) report having up-to-date malware protection. Fewer businesses (78% vs. 83%) and charities (57% vs. 72%) have set up network firewalls. In large businesses in particular, having laptops with unsupported versions of Windows is a significant security risk (affecting 32% of large businesses). ・また、ハードウェア、ソフトウェア、システムのアップグレードも難しくなっています。スタッフが自宅で仕事をするようになったことで、企業が管理すべきエンドポイントが増えています。最新のマルウェア対策を行っていると回答した企業(83%、2020年には88%)と慈善団体(69%、78%)は少ないです。ネットワークにファイアウォールを設置している企業(78%対83%)と慈善団体(57%対72%)は少ないです。特に大企業では、サポートされていないバージョンのWindowsを搭載したノートPCを使用していることが、重大なセキュリティリスクとなっています(大企業の32%が影響を受けています)。
・More generally, the pandemic had stretched resources and led to competing priorities in IT and cyber security teams. In some cases, there was a perceived conflict between prioritising IT service continuity and maintenance work, and aspects of cyber security such as patching software. ・さらに一般的には、パンデミックの影響でリソースが逼迫し、IT部門とサイバーセキュリティ部門の優先順位が競合することになりました。場合によっては、ITサービスの継続性や保守作業を優先することと、ソフトウェアへのパッチ適用などのサイバーセキュリティの側面との間に矛盾が生じていると感じられることもありました。
COVID-19 has been an unexpected and unprecedented challenge for organisations. But in terms of cyber security, the findings highlight that there is more they can do to plan for, and ensure they are resilient to, future uncertainties. COVID-19は、企業にとって想定外の未曾有の課題となりました。しかし、サイバーセキュリティの観点から見ると、将来の不確実性に備えて計画を立て、それに対する耐性を確保するためにできることがあることが、今回の調査結果で明らかになりました。
The survey findings highlight that a minority of organisations overall have taken actions in the following areas – although they are far more common among medium and large businesses: 今回の調査結果では、以下の分野で対策を講じている企業は全体の中で少数であることが明らかになりました。
・taking out some form of cyber insurance (43% of businesses and 29% of charities) – this is up from 32 per cent for businesses in 2020 ・何らかのサイバー保険に加入している(企業の43%、慈善団体の29%) - 2020年の企業の32%から増加している。
・undertaking cyber security risk assessments (34% and 32%) ・サイバーセキュリティのリスク評価を実施する(34%、32
・testing staff, such as through mock phishing exercises (20% and 14%) ・模擬フィッシング演習などによるスタッフのテスト(20%と14%)。
・carrying out cyber security vulnerability audits (15% and 12%) ・サイバーセキュリティの脆弱性監査の実施(15%と12
・reviewing cyber security risks posed by suppliers (12% and 8%). ・サプライヤーのサイバーセキュリティリスクを検討する(12%と8%)。
As the UK emerges from the COVID-19 pandemic, organisations might also consider what more they can do to manage cyber security risks in a “blended” working environment (i.e. where staff are regularly working both in offices and at home): 英国がCOVID-19の流行から脱却するにあたり、企業は、「混合型」の職場環境(職員がオフィスと自宅の両方で定期的に仕事をしているような環境)におけるサイバーセキュリティリスクを管理するために何ができるかを検討することもできるでしょう。
・Three in ten businesses (31%) and slightly fewer charities (27%) have a business continuity plan that covers cyber security. This was a new question for 2021. ・3割の企業と慈善団体(31%と27%)は、サイバーセキュリティをカバーする事業継続計画を策定しています。これは、2021年の新しい質問でした。
・A quarter of businesses and charities (23% of each) have cyber security policies that cover home working. A fifth of businesses (18%) and a quarter of charities (23%) have policies that cover the use of personal devices for work. The extent to which these areas feature in cyber security policies has not changed significantly since last year. *Over four in ten businesses (46%) and three in ten charities (30%) are using smart (i.e. network-connected) devices in workplaces. This was also a new question for 2021, and highlights a potential new area of cyber risk for organisations to address. ・企業と慈善団体の4分の1(各23%)は、在宅勤務をカバーするサイバーセキュリティポリシーを持っています。企業の5分の1(18%)、慈善団体の4分の1(23%)が、個人所有のデバイスを仕事で使用することをカバーするポリシーを持っています。これらの分野がサイバーセキュリティポリシーに盛り込まれている範囲は、昨年から大きな変化はありません。*10社のうち4社以上(46%)、10団体のうち3団体(30%)が職場でスマートデバイス(ネットワークに接続されたデバイス)を使用している。これは、2021年の新たな設問でもあり、組織が取り組むべきサイバーリスクの新たな領域となる可能性を示しています。
The qualitative research also highlights organisations’ cyber security ambitions for the future and the broader challenges they expect to face. Many expect to make continuous improvements in their cyber security, which includes, for example, rolling out multi-factor authentication, or tweaking policies and processes to cover Software as a Service (SaaS). Some also expect to move further away from an approach of locking down user activity, towards one that prioritises functionality and flexibility. Cyber security teams may therefore need to realign themselves to wider strategic business needs in some cases, emphasising how staff can use new technologies, software and platforms securely rather than banning them. 今回の定性調査では、企業が将来的に直面するであろうサイバーセキュリティ上の課題についても明らかになりました。例えば、多要素認証の導入や、SaaS(Software as a Service)を対象としたポリシーやプロセスの調整などが挙げられます。また、ユーザーの行動を制限するアプローチから、機能性と柔軟性を優先するアプローチへと移行することも予想されます。そのため、サイバーセキュリティチームは、新しいテクノロジーやソフトウェア、プラットフォームの使用を禁止するのではなく、スタッフがいかに安全に使用できるかを強調するなど、より広範な戦略的ビジネスニーズに対応する必要がある場合もあります。

 

今年分と過去分

2021 2021.03.24 html pdf 20210325-171535
2020 2020.03.26 html pdf 20210325-182059
2019 2019.04.03   pdf 20210325-184509
2018 2018.04.25   pdf 20210325-184628
2017 2017.04.19   pdf 20210325-184741
2016 2015.11.11   pdf 20210325-184921
2015 2015.06.04   pdf 20210325-185237
2014 2014.04.29   pdf 20210325-185420
2013 2013.04.23   pdf 20210325-185524

 

 




| | Comments (0)

より以前の記事一覧