Ponemon Institute: Costs of Web Application & DoS Attacks in Asia-Pacific

Size: px

Start display at page:

Download "Ponemon Institute: Costs of Web Application & DoS Attacks in Asia-Pacific"

かげたつふしはら
4 years ago
Views:

1 ウェブアプリケーション攻撃およびサービス妨害 (DoS) 攻撃による被害コストの傾向 : アジア太平洋地域提供 : AKAMAI TECHNOLOGIES Ponemon Institute LLC による独立調査発行日 : 2018 年 6 月 Ponemon Institute Research Report

第 1 部 : はじめにウェブアプリケーション攻撃およびサービス妨害 (DoS) 攻撃による被害コストの傾向 : アジア太平洋地域 Ponemon Institute(2018 年 6 月 ) ウェブアプリケーション攻撃およびサービス妨害 (DoS) 攻撃による被害コストの傾向 : アジア太平洋地域 (Akamai Technologies 提供 ) を公開いたしますこの調査の目的は

2 第 1 部 : はじめにウェブアプリケーション攻撃およびサービス妨害 (DoS) 攻撃による被害コストの傾向 : アジア太平洋地域 Ponemon Institute(2018 年 6 月 ) ウェブアプリケーション攻撃およびサービス妨害 (DoS) 攻撃による被害コストの傾向 : アジア太平洋地域 (Akamai Technologies 提供 ) を公開いたしますこの調査の目的はウェブアプリケーション攻撃およびサービス妨害 (DoS) 攻撃による被害コストと結果がどのように変化しているのかを把握することです Ponemon Institute は調査にあたり IT 運用 IT セキュリティ IT コンプライアンスデータセンター管理いずれかに所属する 501 名にアンケートを実施しました図 1 はウェブアプリケーション攻撃と DoS 攻撃が 5 つの領域でもたらす被害コストを示していますウェブアプリケーションへの攻撃による被害コストの総額は過去 12 か月で平均 240 万ドル DoS 攻撃による被害コストの総額は平均 110 万ドルです図 1. ウェブアプリケーション攻撃と DoS 攻撃による被害コスト単位 :1,000 米ドルウェブアプリケーション攻撃の方が DoS 攻撃よりコストが著しく高いことが図 1 からわかります特にテクニカルサポートとインシデントレスポンスについてはウェブアプリケーション攻撃を受けた場合のコストは 903,830 ドルで DoS 攻撃の 294,627 ドルと比べて大幅に高くなっていました DoS 攻撃で金銭的被害が最も大きかったのは顧客対応サービスが利用できなくなったことによる収益の損失でしたこのレポートは 2 つのセクションに分かれています最初のセクション (2a) のテーマはウェブアプリケーションのセキュリティ確保 2 番目のセクション (2b) は DoS 攻撃です主な調査結果回答者の 92% がウェブアプリケーションのセキュリティは重要であるか他のセキュリティ問題よりも重要であると答えましたただしほとんどの企業ではウェブアプリケーションの 50% 未満にしか脆弱性テストを実施していませんでした顧客対応サービスが利用不能に陥ったことによる過去 1 年間の収益損失額は平均 435,222 ドルでした回答者の 63% は 1 つのウェブアプリケーション侵害の修復に数日 (40%) または数週間 (23%) を要したと答えました Ponemon Institute Research Report 1

3 機密データへの攻撃者のアクセスを防止するために Web Application Firewall(WAF) を導入している企業は調査対象の 81% にのぼりましたそのうち 9% は Web に蔓延しているマルウェアが自社の WAF を頻繁に迂回していると答え 46% はときどき迂回していると答えましたほとんどの企業はセキュリティとパフォーマンスの両方に対応する WAF が理想的だと考えています事実 WAF を所有している組織に属する回答者の 45% はセキュリティとパフォーマンスがどちらも同程度に重要だと考えています大部分の調査対象企業 ( 回答者の 70%) は自社の DoS 防御についてあまり効果がないと評価しています過去 1 年間に企業は DoS 攻撃を約 4 回受けています攻撃後のダウンタイムは平均 7.45 時間で 1 回の DoS 攻撃を緩和するのに 1 時間以上 (60.32 分 ) かかっています能力のあるセキュリティスタッフが不足していることは DoS 攻撃の防止にあたってリソース不足よりもはるかに大きな障害です DoS 攻撃による金銭的被害が最も大きかったのは評判の低下と収益の損失でした Ponemon Institute Research Report 2

4 第 2 部 a. ウェブアプリケーション攻撃の傾向に関する主な調査結果このセクションではウェブアプリケーション攻撃の調査結果を分析し次のトピックで構成されていますウェブアプリケーション保護の重要性企業が WAF を導入した場合の有効性ウェブアプリケーション攻撃による被害コストウェブアプリケーション保護の重要性ウェブアプリケーションのセキュリティを確保すべき最も重要な理由は引き続きデータ保護である図 2 に示すように回答者の 56% は自社がウェブアプリケーションのセキュリティを確保する目的はアプリケーション内の機密データを保護しデータ漏えいを防ぐためだと答えています収益の損失防止 (37%) がこれに続きますさらに 37% は規制へのコンプライアンスを理由として挙げました図 2. ウェブアプリケーションのセキュリティを確保すべき理由複数回答は 2 項目までデータ保護 56% 収益の損失コンプライアンス (PCI HIPAA GLBA 各種州法プライバシー指令など ) 37% 37% 業務の中断 32% ブランドの保護 23% 顧客の流出 12% 仕事の保護 3% 0% 40% 50% 60% Ponemon Institute Research Report 3

ウェブアプリケーションのセキュリティ確保は組織にとって重要だと見なされているウェブアプリケーションの攻撃は企業に絶えず脅威を及ぼしています図 3 に示すように回答者の 43% はウェブアプリケーションのセキュリティは自社が直面する他のセキュリティの問題よりも重要だと答えました調査対象企業の多く ( 回答者の 61%) は

5 ウェブアプリケーションのセキュリティ確保は組織にとって重要だと見なされているウェブアプリケーションの攻撃は企業に絶えず脅威を及ぼしています図 3 に示すように回答者の 43% はウェブアプリケーションのセキュリティは自社が直面する他のセキュリティの問題よりも重要だと答えました調査対象企業の多く ( 回答者の 61%) は自社のウェブアプリケーションのセキュリティに関する責任をウェブホスティングプロバイダーが負うべきだと考えています図 3. ウェブアプリケーションのセキュリティ確保は他のセキュリティの問題と比較してどれくらい重要ですか 60% 50% 40% 49% 43% 8% 0% 重要度は同じ重要度は高い重要度は低いネットワークインフラストラクチャの保護に最も多用されているのはネットワークファイアウォールである図 4 に示すように既知の脆弱性が修復されるまでウェブインフラストラクチャを保護するために最も多用されているのはネットワークファイアウォールです図 4. 既知の脆弱性が修復されるまでどのような手法を用いて自社ウェブインフラストラクチャを保護していますか 80% 70% 76% 75% 70% 60% 55% 50% 40% 0% ネットワークファイアウォール IDS/IPS WAF 手動プロセスその他 3% Ponemon Institute Research Report 4

回答者の 63% は脆弱性が発見された場合ウェブアプリケーションの侵害を 1 件修復するのに平均して数日 ( 回答者の 40%) または数週間 ( 回答者の 23%) かかると答えています ( 図 6) 図 6.

6 ほとんどの組織は継続的にウェブアプリケーション侵害を受けている図 5 に示すように回答者の 74% は過去 1 年間に組織のウェブアプリケーションが侵害されたと答えました (21% は頻繁に侵害され 53% はときどき侵害されたと回答 ) 図 5. 過去 12 か月間にウェブアプリケーション侵害を受けましたか 60% 50% 53% 40% 21% 21% 0% 3% 2% はい頻繁にはいときどきはい稀になしわからない侵害を受けたウェブアプリケーションの修復には数日または数週間かかる回答者の 63% は脆弱性が発見された場合ウェブアプリケーションの侵害を 1 件修復するのに平均して数日 ( 回答者の 40%) または数週間 ( 回答者の 23%) かかると答えています ( 図 6) 図 6. ウェブアプリケーション侵害を 1 件修復するための所要時間はどれくらいですか 45% 40% 35% 40% 25% 23% 15% 15% 5% 0% 2% 数分数時間数日数週間数か月 1 年以上分からない 1% Ponemon Institute Research Report 5

脆弱性テストが実施されているのはウェブアプリケーションの半数未満である平均するとウェブアプリケーションの 42% に対して脆弱性テストが実施されています多くの障害がウェブアプリケーションの包括的なテストを妨げています図 7 に示すようにテストが実施されているウェブアプリケーションが 50% を下回っている主な 3 つの理由は

7 脆弱性テストが実施されているのはウェブアプリケーションの半数未満である平均するとウェブアプリケーションの 42% に対して脆弱性テストが実施されています多くの障害がウェブアプリケーションの包括的なテストを妨げています図 7 に示すようにテストが実施されているウェブアプリケーションが 50% を下回っている主な 3 つの理由はテスト対象のウェブアプリケーションを増やす必要があるか確信が持てない ( 回答者の 76%) リーダーがアプリケーションのセキュリティを理解しておらず必要性を分かっていない ( 回答者の 57%) 予算がない (45%) です図 7. ウェブアプリケーションをテストしていない理由は何ですか複数回答可テスト対象を増やす必要があるか確信が持てない 76% リーダーがアプリケーションのセキュリティを理解しておらず必要性も分かっていない 57% 予算がない 45% 専門知識を持っていない 33% 一度もハッキングされたことがない 7% その他 4% 0% 40% 50% 60% 70% 80% 90% Ponemon Institute Research Report 6

ほとんどの組織はウェブアプリケーションを定期的にテストしている回答者の 61% はウェブアプリケーションを定期的にテストしていると答えています ( 図 8) 回答者の 13% はウェブアプリケーションを毎月テストしており 18% はコード変更のたびにウェブアプリケーションをテストしていると答えています図 8.

8 ほとんどの組織はウェブアプリケーションを定期的にテストしている回答者の 61% はウェブアプリケーションを定期的にテストしていると答えています ( 図 8) 回答者の 13% はウェブアプリケーションを毎月テストしており 18% はコード変更のたびにウェブアプリケーションをテストしていると答えています図 8. どれくらいの頻度でウェブアプリケーションをテストしていますか非定期 39% コード変更のたび 18% 毎日 2% 毎週 7% 毎月 13% 四半期に 1 回半年に 1 回 7% 1 年に 1 回 4% 0% 5% 15% 25% 35% 40% 45% WAF が Web に蔓延しているマルウェアをすべて阻止できるという期待は低い全回答者を対象にシグネチャーが不明なマルウェアを含め Web に蔓延しているすべてのマルウェアを WAF で阻止できると思うかどうかを質問しました図 9 に示すようにそのようなマルウェアをすべて WAF で阻止できると思っているのは回答者の 43% にすぎず強くそう思うが 21% そう思うが 22% でした図 9. WAF にかける期待ウェブアプリケーションはウェブホスティングプロバイダーによって保護されると思う 61% Web に蔓延しているすべてのマルウェアを WAF で阻止できると思う ( シグネチャーが不明なマルウェアを含む ) 43% 0% 40% 50% 60% 70% Ponemon Institute Research Report 7

WAF はウェブアプリケーションへの攻撃を防ぐ有効なテクノロジーになり得る WAF はアプリケーションへの攻撃によるウェブサーバーとそのデータベースの侵害を防ぐために複数の方法で配置できます WAF を導入していないと回答した回答者はわずか 19% です回答者の 81% は自社に WAF が導入されていると答えています導入されていると回答した 81% のうち

9 WAF はウェブアプリケーションへの攻撃を防ぐ有効なテクノロジーになり得る WAF はアプリケーションへの攻撃によるウェブサーバーとそのデータベースの侵害を防ぐために複数の方法で配置できます WAF を導入していないと回答した回答者はわずか 19% です回答者の 81% は自社に WAF が導入されていると答えています導入されていると回答した 81% のうちはインライン配置とノンインライン配置の組み合わせ 26% はインライン配置でした ( 図 10) この調査では配置されていない WAF があるかどうかは尋ねていません図 10. WAF に対する貴社のアプローチに最も近いものは次のどれですかインライン配置とノンインライン配置の組み合わせインライン配置 26% ノンインライン配置 25% WAF はない 19% 0% 5% 15% 25% 35% Ponemon Institute Research Report 8

企業が WAF を導入すると有効かこのセクションでは WAF を導入している企業の回答者からの回答のみが示されています ( 回答者の 81%) Web に蔓延しているマルウェアは WAF を迂回している前述のように ( 図 9) 回答者は Web に蔓延しているすべてのマルウェアを WAF で阻止できるとは思っていません図 11 に示すように回答者の 56% が Web

10 企業が WAF を導入すると有効かこのセクションでは WAF を導入している企業の回答者からの回答のみが示されています ( 回答者の 81%) Web に蔓延しているマルウェアは WAF を迂回している前述のように ( 図 9) 回答者は Web に蔓延しているすべてのマルウェアを WAF で阻止できるとは思っていません図 11 に示すように回答者の 56% が Web に蔓延しているマルウェアが自社の WAF を迂回していると答えそのうち 9% が頻繁に迂回していると答え 46% がときどき迂回していると答えました図 11. 過去 12 か月間に Web に蔓延しているマルウェアが自社の WAF を迂回したことはありますか 50% 45% 40% 35% 25% 46% 39% 15% 5% 9% 6% 0% はい頻繁にはいときどきはい稀になし Ponemon Institute Research Report 9

WAF はセキュリティとパフォーマンス両方に対応する必要があるパフォーマンスはセキュリティソリューションの特性として見落とされがちですが大半の回答者は WAF ソリューションのパフォーマンスを重視していますこの理由として考えられるのは職務の回答者が多岐にわたっており WAF の管理に責任がある職務や WAF のパフォーマンス低下の影響を受ける職務が多いことです回答者の 69% は

WAF を配置する場合セキュリティとパフォーマンスのどちらがより重要ですか 50% 45% 45% 40% 35% 34% 25% 22% 15% 5% 0% セキュリティもパフォーマンスも同じぐらい重要であるセキュリティがより重要であるパフォーマンスがより重要であるゼロデイ攻撃や既知のシグネチャーのマルウェアを阻止するのに最も有効な WAF を尋ねたところ

11 WAF はセキュリティとパフォーマンス両方に対応する必要があるパフォーマンスはセキュリティソリューションの特性として見落とされがちですが大半の回答者は WAF ソリューションのパフォーマンスを重視していますこの理由として考えられるのは職務の回答者が多岐にわたっており WAF の管理に責任がある職務や WAF のパフォーマンス低下の影響を受ける職務が多いことです回答者の 69% はフル機能の WAF はパフォーマンスとセキュリティ両方が最適化されていると答えている図 12 で示すように WAF の配置でセキュリティとパフォーマンスのどちらがより重要かを尋ねると回答者の 45% は両方が同程度に重要だと答えていますセキュリティの方が重要だと答えたのはわずか 34% でパフォーマンスの方が重要だと答えたのはそれよりやや少ない 22% でした図 12. WAF を配置する場合セキュリティとパフォーマンスのどちらがより重要ですか 50% 45% 45% 40% 35% 34% 25% 22% 15% 5% 0% セキュリティもパフォーマンスも同じぐらい重要であるセキュリティがより重要であるパフォーマンスがより重要であるゼロデイ攻撃や既知のシグネチャーのマルウェアを阻止するのに最も有効な WAF を尋ねたところ多くの回答者がノンインライン配置の WAF だと回答しました ( 図 13) 図 13. 最も効果的な WAF はどれですか 50% 45% 40% 35% 25% 15% 5% 0% 43% 43% 28% 28% 29% 17% 12% ノンインラインノンプロキシ WAF* 分からないインライン * オプションは使用不能ゼロデイ攻撃の阻止シグネチャーが既知のマルウェアの阻止 Ponemon Institute Research Report 10

12 企業は効率的に WAF を管理している図 14 に示すように回答者の 40% は WAF を適切に管理するには従業員が 1~2 名いれば良いと答えています ( フルタイム相当の従業員 ) 図 14. WAF を適切に管理するには従業員が何人必要ですか ( フルタイム相当の従業員 ) 45% 40% 35% 40% 28% 25% 15% 9% 16% 5% 0% 3% 3% なし 1 ~ 2 人 3 ~ 5 人 6 ~ 10 人 11 ~ 15 人 16 ~ 20 人 Ponemon Institute Research Report 11

ウェブアプリケーション攻撃による被害コストウェブアプリケーション攻撃によって顧客が製品やサービスを購入できなくなることによる収益の損失は増加しているウェブアプリケーション攻撃への対応にかかる総被害コストは年間平均で約 240 万ドルです表 1 に示すようにこの被害コストにはテクニカルサポートとインシデントレスポンス (903,830 ドル ) ユーザーの生産性の低下 (311,382

13 ウェブアプリケーション攻撃による被害コストウェブアプリケーション攻撃によって顧客が製品やサービスを購入できなくなることによる収益の損失は増加しているウェブアプリケーション攻撃への対応にかかる総被害コストは年間平均で約 240 万ドルです表 1 に示すようにこの被害コストにはテクニカルサポートとインシデントレスポンス (903,830 ドル ) ユーザーの生産性の低下 (311,382 ドル ) 通常の事業活動の中断 (500,695 ドル ) IT 資産やインフラストラクチャの損傷や盗難 (292,870 ドル ) 顧客対応サービスが利用できないことによる収益の損失 (435,223 ドル ) が含まれます表 1. ウェブアプリケーションが受けた攻撃による被害コスト ( 過去 12 か月 ) 推定値 FY2018 テクニカルサポートとインシデントレスポンスのコスト $903,830 ユーザーの生産性の低下 $311,382 通常の事業活動の中断 $500,695 IT 資産やインフラストラクチャの損傷や盗難 $292,870 顧客対応サービスが使用できなくなることによる収益の損失 $435,223 合計 $2,444,000 図 15 に示すようにウェブアプリケーションへの攻撃に関連するコストで最も大きな割合を占めているのはテクニカルサポートとインシデントレスポンスです (37%) 割合が最も小さいのは IT 資産やインフラストラクチャの損傷や盗難です (12%) 図 15. ウェブアプリケーション攻撃による被害コスト内訳テクニカルサポートとインシデントレスポンス 37% 通常の事業活動の中断顧客対応サービスが使用できないことによる収益の損失 18% ユーザーの生産性の低下 13% IT 資産やインフラストラクチャの損傷や盗難 12% 0% 5% 15% 25% 35% 40% Ponemon Institute Research Report 12

14 第 2 部 b. DoS 攻撃の傾向に関する主な調査結果このセクションでは DoS 攻撃について分析し次のトピックで構成されています DoS 攻撃の増大する脅威 DoS 攻撃による金銭的被害 DoS 攻撃の増大する脅威自社が DoS 攻撃を非常に効果的に防止していると答えた回答者はにすぎない企業は過去 1 年間で平均 4 件の DoS 攻撃を受けています 1 件の攻撃がもたらす平均ダウンタイムは 7.45 時間で DoS 攻撃の緩和に 1 時間以上 (60.32 分 ) かかっています自社の DoS 攻撃防止の有効性を 1 = 非常に低い 10 = 非常に有効として評価するよう求めたところ効果的 (10 段階の 7 以上 ) と評価したのは回答者のでした図 16 に示すように DoS 攻撃による悪影響のトップは評判の低下でした ( 回答者の 65%) 1 件の DoS 攻撃の緩和にかかる時間およびダウンタイムが大幅に増加したことを考慮すると企業は評判の低下と収益の損失という被害を被っていると言えます図 16.DoS 攻撃による悪影響複数回答は 2 項目まで評判の低下 65% 収益の損失 41% エンドユーザーの生産性の低下 32% IT スタッフの生産性の低下 27% 所有物工場装置の損傷 21% 規制またはコンプライアンス違反 12% 情報資産の盗難 6% その他 2% 0% 40% 50% 60% 70% Ponemon Institute Research Report 13

15 能力のあるセキュリティスタッフの不足はリソースの不足よりも大きな障害となっている図 18 に示すようにこうした脅威を防止するうえで最も大きな障害となっているのが能力のあるセキュリティスタッフの不足です ( 回答者の 54%) 不適切または不十分なテクノロジーがそれに続きます ( 回答者の 43%) 予算不足が障害だと答えたのはわずか 37% でした図 17. DoS 攻撃を防止するうえでの障害複数回答は 2 項目まで能力のあるセキュリティ担当者の不在 54% 不適切または不十分なテクノロジー 43% 予算不足 37% スタッフや社内の専門知識の不足 29% 経営幹部レベルのサポートの欠如 22% セキュリティのリーダーシップの欠如セキュリティ関連の他の優先事項への注力 5% 0% 40% 50% 60% Ponemon Institute Research Report 14

DoS 攻撃の防止検知封じ込めにおけるセキュリティテクノロジーの有効性を 1 = 有効性が低い 10 = 非常に有効として評価するよう回答者に求めました最も有効なテクノロジーと見なされたのは DDoS スクラビングソリューション ISP ベースのソリューショントラフィック / ネットワークインテリジェンスです ( 図 18) 図 18.

16 DoS 攻撃の防止検知封じ込めにおけるセキュリティテクノロジーの有効性を 1 = 有効性が低い 10 = 非常に有効として評価するよう回答者に求めました最も有効なテクノロジーと見なされたのは DDoS スクラビングソリューション ISP ベースのソリューショントラフィック / ネットワークインテリジェンスです ( 図 18) 図 18. DoS 攻撃への対応に最も効果的なテクノロジー 1 ~ 10(1 が最低 10 が最高 ) で評価 DDoS スクラビングソリューション ISP ベースのソリューショントラフィック / ネットワークインテリジェンスファイアウォール次世代ファイアウォール侵入検知および防止エンドポイントセキュリティソリューションセキュリティインシデントおよびイベント管理アンチマルウェア VPN およびセキュアゲートウェイコンテンツデリバリーネットワーク暗号化およびその他の暗号テクノロジー Ponemon Institute Research Report 15

17 DoS 攻撃による被害コスト DoS 攻撃による最も重大な金銭的被害は収益の損失とテクニカルサポートへのリソース割り当ての必要性である DoS 攻撃への対応にかかる総被害コストは年間平均で約 110 万ドルです表 2 に示すようにこの被害コストにはテクニカルサポート (294,627 ドル ) 生産性の低下 (149,708 ドル ) 通常の事業活動の中断 (230,385 ドル ) IT 資産やインフラストラクチャの損傷や盗難 (120,143 ドル ) 顧客対応サービスが利用できないことによる収益の損失 (347,819 ドル ) が含まれます表 2. DoS 攻撃による金銭的被害推定値 (FY 2018) 顧客対応サービスが使用できないことによる収益の損失 $347,819 テクニカルサポート $294,627 通常の事業活動の中断 $230,385 ユーザーの生産性の低下 $149,708 IT 資産やインフラストラクチャの損傷や盗難 $120,143 合計 $1,142,682 図 19 に示すように最大の割合を占めるのが顧客対応サービスが使用できないことによる収益の損失 () で割合が最も小さいのは IT 資産やインフラストラクチャの損傷や盗難です (12%) 図 19. DoS 攻撃のもたらす金銭的被害の内訳顧客対応サービスが使用できないことによる収益の損失テクニカルサポートとインシデントレスポンス 26% 通常の事業活動の中断ユーザーの生産性の低下 13% IT 資産やインフラストラクチャの損傷や盗難 11% 0% 5% 15% 25% 35% Ponemon Institute Research Report 16

第 3 部 : 調査方法サンプル抽出枠はアジア太平洋地域の IT 担当者および IT セキュリティ担当者 14,655 名で構成されています表 3 に示すように 551 名の回答者が調査を完了しましたスクリーニングにより 50 件の調査が削除されました最終サンプルは 501 件 ( 回答率 :3.4%) となりました表 3.

18 第 3 部 : 調査方法サンプル抽出枠はアジア太平洋地域の IT 担当者および IT セキュリティ担当者 14,655 名で構成されています表 3 に示すように 551 名の回答者が調査を完了しましたスクリーニングにより 50 件の調査が削除されました最終サンプルは 501 件 ( 回答率 :3.4%) となりました表 3. サンプル回答状況件数割合 (%) 合計サンプル抽出枠 14, % 合計回答数 % 拒否またはスクリーニングされた調査 % 最終サンプル % 図 20 は回答者の現在の職位または組織でのレベルを示しています半数超の回答者 (57%) が現在の職位がスーパーバイザー以上であると報告しています図 20. 現在の職位または組織でのレベル上級管理者 /VP 6% ディレクター 14% マネージャー 23% スーパーバイザー 14% 技術者 32% スタッフ 8% 請負業者その他 1% 2% 0% 5% 15% 25% 35% Ponemon Institute Research Report 17

19 図 21 は回答者の直属の上司を示しています回答者の 61% は最高情報責任者 (CIO) が直属の上司であると述べています 19% は最高情報セキュリティ責任者 (CISO) が直属の上司であると答えています図 21. 直属の上司最高情報責任者 (CIO) 61% 最高情報セキュリティ責任者 (CISO) 19% コンプライアンス責任者 8% 最高セキュリティ責任者 (CSO) 4% 最高リスク責任者 (CRO) 3% ジェネラルカウンシル 2% その他 3% 図 232 は回答者の組織の業種を示していますこの図では金融サービス (17%) が最も多く続いて産業機械メーカー (12%) サービスセクター (11%) 公共部門 (11%) となっています図 22. 業種 0% 40% 50% 60% 70% 金融サービス産業機械メーカーサービス公共部門テクノロジーおよびソフトウェア医療および製薬小売エネルギーおよび公益事業運輸教育および研究通信サービス業その他 4% 3% 3% 3% 3% 6% 8% 12% 11% 11% 17% 0% 2% 4% 6% 8% 12% 14% 16% 18% Ponemon Institute Research Report 18

20 図 23 に示すように回答者の半数超 (63%) は全世界の従業員数が 1,000 名超の組織に属しています図 23. 組織の全世界の従業員数 25% 24% 26% 18% 15% 13% 14% 5% 5% 0% 500 名未満 500~ 1,000 名 1,001~ 5,000 名 5,001~ 25,000 名 25,001 ~ 75,000 名 75,000 名超 Ponemon Institute Research Report 19

21 第 4 部 : 注意事項調査研究には調査結果から推論を導き出す前に慎重な検討が必要な固有の限界があります以下の項目は Web ベースの調査の大半と密接な関係がある固有の限界を示しています非回答バイアス : 現在の結果は調査回答のサンプルに基づいています当社から代表サンプルの個人に調査を送信し多数の有効な回答が返信されました非回答テストは実施しましたが回答しなかった個人の根本的な信念が調査を完了した個人の根本的な信念と大きく異なっている可能性は常に存在しますサンプル抽出枠バイアス : 精度は連絡先情報とそのリストがアジア太平洋地域内のさまざまな組織の IT 担当者または IT セキュリティ担当者である個人をどの程度代表しているかに基づいていますまた当社は結果がメディアによる報道などの外部的事象によりバイアスを受ける可能性があることを認識していますさらに指定された期間内にこの調査を完了しなければならないことによってもバイアスを受けることを認識しています自己報告による結果 : 調査研究の品質は対象者から受領した機密性の高い回答の完全性に基づいています一定のチェックや調整は調査プロセスに組み込まれていますが対象者が正確な回答を提供しない可能性は常に存在します Ponemon Institute 重要な情報管理を促進 Ponemon Institute は企業や政府内の重要な情報およびプライバシー管理を促進する独立した調査および教育の実施に取り組んでいます当社の使命は人や組織に関する機密情報の管理とセキュリティに影響する重要な問題について高品質で実証的な調査を実施することです当社は厳格なデータの機密性プライバシー倫理的調査基準を遵守しています当社は個人から個人を特定できる情報 ( またはビジネス調査で会社を特定できる情報 ) を収集することはありませんさらに当社は対象者が無関係な質問や不適切な質問を受けることのないよう厳格な品質基準を遵守しています Ponemon Institute Research Report 20

Prezentace aplikace PowerPoint

Prezentace aplikace PowerPoint NTA ソリューションの概要セキュリティギャップ防止策と境界の防御対策の失敗 ( 既存製品の ) 不十分なネットワーク可視化機能攻撃検出の遅れ複雑なネットワーク IoT BYOD より高度な脅威がさらに頻繁に発生ネットワークへの侵害 2 深刻な被害攻撃による被害は深刻で長期に及び情報漏えい自体の金銭的被害だけに留まりません顧客データの損失からの回復に約 12 カ月かかる場合もあります