ウェブアプリケーション
攻撃およびサービス
妨害(
DoS)攻撃による
被害コストの傾向:
アジア太平洋地域
提供:
AKAMAI TECHNOLOGIES
Ponemon Institute LLC による独立調査
発行日:
2018 年 6 月
ウェブアプリケーション攻撃および
サービス妨害(
DoS)攻撃による被害コストの傾向:アジア太平洋地域
Ponemon Institute(2018 年 6 月) 第 1 部:はじめに 「ウェブアプリケーション攻撃およびサービス妨害(DoS)攻撃による被害コストの傾向:アジア太平洋地 域」(Akamai Technologies 提供)を公開いたします。この調査の目的は、ウェブアプリケーション攻撃お よびサービス妨害(DoS)攻撃による被害コストと結果がどのように変化しているのかを把握することで す。Ponemon Institute は調査にあたり、IT 運用、IT セキュリティ、IT コンプライアンス、データセンター 管理いずれかに所属する 501 名にアンケートを実施しました。 図 1 は、ウェブアプリケーション 攻撃と DoS 攻撃が 5 つの領域 でもたらす被害コストを示してい ます。ウェブアプリケーションへ の攻撃による被害コストの総額 は過去 12 か月で平均 240 万ド ル、DoS 攻撃による被害コスト の総額は平均 110 万ドルです。 ウェブアプリケーション攻撃の方 が DoS 攻撃よりコストが著しく 高いことが、図 1 からわかりま す。特にテクニカルサポートと インシデントレスポンスについて は 、 ウ ェ ブ ア プ リ ケ ー シ ョ ン 攻 撃 を 受 け た 場 合 の コ ス ト は 903,830 ドルで、DoS 攻撃の 294,627 ドルと比べて大幅に高 くなっていました。DoS 攻撃で金 銭的被害が最も大きかったのは、 顧客対応サービスが利用できな くなったことによる収益の損失で した。 このレポートは 2 つのセクションに分かれています。最初のセクション(2a)のテーマはウェブアプリケー ションのセキュリティ確保、2 番目のセクション(2b)は DoS 攻撃です。 主な調査結果 回答者の 92% が、ウェブアプリケーションのセキュリティは重要であるか、他のセキュリティ問題よ りも重要であると答えました。ただし、ほとんどの企業では、ウェブアプリケーションの 50% 未満にし か脆弱性テストを実施していませんでした。 顧客対応サービスが利用不能に陥ったことによる過去 1 年間の収益損失額は平均 435,222 ドルで した。 図 1. ウェブアプリケーション攻撃と DoS 攻撃による被害コスト 単位:1,000 米ドル 機密データへの攻撃者のアクセスを防止するために Web Application Firewall(WAF)を導入して いる企業は調査対象の 81% にのぼりました。そのうち 9% は、Web に蔓延しているマルウェアが自 社の WAF を頻繁に迂回していると答え、46% はときどき迂回していると答えました。 ほとんどの企業は、セキュリティとパフォーマンスの両方に対応する WAF が理想的だと考えていま す。事実、WAF を所有している組織に属する回答者の 45% は、セキュリティとパフォーマンスがど ちらも同程度に重要だと考えています。 大部分の調査対象企業(回答者の 70%)は、自社の DoS 防御についてあまり効果がないと評価し ています。 過去 1 年間に企業は DoS 攻撃を約 4 回受けています。攻撃後のダウンタイムは平均 7.45 時間で、 1 回の DoS 攻撃を緩和するのに 1 時間以上(60.32 分)かかっています。 能力のあるセキュリティスタッフが不足していることは、DoS 攻撃の防止にあたってリソース不足より もはるかに大きな障害です。 DoS 攻撃による金銭的被害が最も大きかったのは評判の低下と収益の損失でした。
第 2 部 a. ウェブアプリケーション攻撃の傾向に関する主な調査結果 このセクションでは、ウェブアプリケーション攻撃の調査結果を分析し、次のトピックで構成されていま す。 ウェブアプリケーション保護の重要性 企業が WAF を導入した場合の有効性 ウェブアプリケーション攻撃による被害コスト ウェブアプリケーション保護の重要性 ウェブアプリケーションのセキュリティを確保すべき最も重要な理由は、引き続きデータ保護である。図 2 に示すように、回答者の 56% は、自社がウェブアプリケーションのセキュリティを確保する目的は、アプ リケーション内の機密データを保護し、データ漏えいを防ぐためだと答えています。収益の損失防止 (37%)がこれに続きます。さらに 37% は、規制へのコンプライアンスを理由として挙げました。 図 2. ウェブアプリケーションのセキュリティを確保すべき理由 複数回答は 2 項目まで 3% 12% 23% 32% 37% 37% 56% 0% 10% 20% 30% 40% 50% 60% 仕事の保護 顧客の流出 ブランドの保護 業務の中断 コンプライアンス(PCI、HIPAA、GLBA、 各種州法、プライバシー指令など) 収益の損失 データ保護
ウェブアプリケーションのセキュリティ確保は組織にとって重要だと見なされている。ウェブアプリケー ションの攻撃は企業に絶えず脅威を及ぼしています。図 3 に示すように、回答者の 43% は、ウェブアプ リケーションのセキュリティは自社が直面する他のセキュリティの問題よりも重要だと答えました。調査対 象企業の多く(回答者の 61%)は、自社のウェブアプリケーションのセキュリティに関する責任をウェブホ スティングプロバイダーが負うべきだと考えています。 図 3. ウェブアプリケーションのセキュリティ確保は、他のセキュリティの問題と比較してどれくらい重要で すか。 ネットワークインフラストラクチャの保護に最も多用されているのはネットワークファイアウォールである。 図 4 に示すように、既知の脆弱性が修復されるまでウェブインフラストラクチャを保護するために最も多 用されているのはネットワークファイアウォールです。 図 4. 既知の脆弱性が修復されるまで、どのような手法を用いて自社ウェブインフラストラクチャを保護し ていますか。 49% 43% 8% 0% 10% 20% 30% 40% 50% 60% 重要度は同じ 重要度は高い 重要度は低い 76% 75% 70% 55% 3% 0% 10% 20% 30% 40% 50% 60% 70% 80% ネットワークフ ァイアウォール IDS/IPS WAF 手動プロセス その他
ほとんどの組織は継続的にウェブアプリケーション侵害を受けている。図 5 に示すように、回答者の 74% は過去 1 年間に組織のウェブアプリケーションが侵害されたと答えました(21% は頻繁に侵害され、 53% はときどき侵害されたと回答)。 図 5. 過去 12 か月間にウェブアプリケーション侵害を受けましたか。 侵害を受けたウェブアプリケーションの修復には数日または数週間かかる。回答者の 63% は、脆弱性 が発見された場合、ウェブアプリケーションの侵害を 1 件修復するのに、平均して数日(回答者の 40%) または数週間(回答者の 23%)かかると答えています(図 6)。 図 6. ウェブアプリケーション侵害を 1 件修復するための所要時間はどれくらいですか。 21% 53% 21% 3% 2% 0% 10% 20% 30% 40% 50% 60% はい、頻繁に はい、ときどき はい、稀に なし わからない 2% 15% 40% 23% 10% 1% 10% 0% 5% 10% 15% 20% 25% 30% 35% 40% 45% 数分 数時間 数日 数週間 数か月 1 年以上 分からない
脆弱性テストが実施されているのはウェブアプリケーションの半数未満である。平均すると、ウェブアプリ ケーションの 42% に対して脆弱性テストが実施されています。多くの障害がウェブアプリケーションの包 括的なテストを妨げています。図 7 に示すように、テストが実施されているウェブアプリケーションが 50% を下回っている主な 3 つの理由は、テスト対象のウェブアプリケーションを増やす必要があるか確 信が持てない(回答者の 76%)、リーダーがアプリケーションのセキュリティを理解しておらず、必要性を 分かっていない(回答者の 57%)、予算がない(45%)です。 図 7. ウェブアプリケーションをテストしていない理由は何ですか。 複数回答可 4% 7% 33% 45% 57% 76% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% その他 一度もハッキングされたことがない 専門知識を持っていない 予算がない リーダーがアプリケーションのセキュリティを 理解しておらず、必要性も分かっていない テスト対象を増やす必要があるか確信が持てない
ほとんどの組織はウェブアプリケーションを定期的にテストしている。回答者の 61% は、ウェブアプリ ケーションを定期的にテストしていると答えています(図 8)。回答者の 13% は、ウェブアプリケーションを 毎月テストしており、18% はコード変更のたびにウェブアプリケーションをテストしていると答えています。 図 8. どれくらいの頻度でウェブアプリケーションをテストしていますか。 WAF が Web に蔓延しているマルウェアをすべて阻止できるという期待は低い。全回答者を対象に、 シグネチャーが不明なマルウェアを含め、Web に蔓延しているすべてのマルウェアを WAF で阻止でき ると思うかどうかを質問しました。図 9 に示すように、そのようなマルウェアをすべて WAF で阻止できる と思っているのは回答者の 43% にすぎず、「強くそう思う」が 21%、「そう思う」が 22% でした。 図 9. WAF にかける期待 4% 7% 10% 13% 7% 2% 18% 39% 0% 5% 10% 15% 20% 25% 30% 35% 40% 45% 1 年に 1 回 半年に 1 回 四半期に 1 回 毎月 毎週 毎日 コード変更のたび 非定期 43% 61% 0% 10% 20% 30% 40% 50% 60% 70% Web に蔓延しているすべてのマルウェアを WAF で阻止できると思う(シグネチャーが 不明なマルウェアを含む) ウェブアプリケーションは、ウェブホスティング プロバイダーによって保護されると思う
WAF はウェブアプリケーションへの攻撃を防ぐ有効なテクノロジーになり得る。WAF は、アプリケー ションへの攻撃によるウェブサーバーとそのデータベースの侵害を防ぐために、複数の方法で配置でき ます。WAF を導入していないと回答した回答者はわずか 19% です。回答者の 81% は、自社に WAF が導入されていると答えています。 導入されていると回答した 81% のうち、30% はインライン配置とノンインライン配置の組み合わせ、26% はインライン配置でした(図 10)。この調査では、配置されていない WAF があるかどうかは尋ねていま せん。 図 10. WAF に対する貴社のアプローチに最も近いものは次のどれですか。 19% 25% 26% 30% 0% 5% 10% 15% 20% 25% 30% 35% WAF はない ノンインライン配置 インライン配置 インライン配置とノンインライン配置の組み合わせ
企業が WAF を導入すると、有効か。
このセクションでは、WAF を導入している企業の回答者からの回答のみが示されています(回答者の 81%)。
Web に蔓延しているマルウェアは WAF を迂回している。前述のように(図 9)、回答者は Web に蔓延し
ているすべてのマルウェアを WAF で阻止できるとは思っていません。図 11 に示すように、回答者の 56% が、Web に蔓延しているマルウェアが自社の WAF を迂回していると答え、そのうち 9% が頻繁に 迂回していると答え、46% がときどき迂回していると答えました。 図 11. 過去 12 か月間に、Web に蔓延しているマルウェアが自社の WAF を迂回したことはありま すか。 9% 46% 39% 6% 0% 5% 10% 15% 20% 25% 30% 35% 40% 45% 50% はい、頻繁に はい、ときどき はい、稀に なし
WAF はセキュリティとパフォーマンス両方に対応する必要がある。パフォーマンスはセキュリティソ リューションの特性として見落とされがちですが、大半の回答者は WAF ソリューションのパフォーマン スを重視しています。この理由として考えられるのは、職務の回答者が多岐にわたっており、WAF の管 理に責任がある職務や WAF のパフォーマンス低下の影響を受ける職務が多いことです。 回答者の 69% は、フル機能の WAF はパフォーマンスとセキュリティ両方が最適化されていると答えて いる。 図 12 で示すように、WAF の配置でセキュリティとパフォーマンスのどちらがより重要かを尋ねると、回答 者の 45% は両方が同程度に重要だと答えています。セキュリティの方が重要だと答えたのはわずか 34% で、パフォーマンスの方が重要だと答えたのはそれよりやや少ない 22% でした。 図 12. WAF を配置する場合、セキュリティとパフォーマンスのどちらがより重要ですか。 ゼロデイ攻撃や、既知のシグネチャーのマルウェアを阻止するのに最も有効な WAF を尋ねたところ、 多くの回答者がノンインライン配置の WAF だと回答しました(図 13)。 図 13. 最も効果的な WAF はどれですか。 45% 34% 22% 0% 5% 10% 15% 20% 25% 30% 35% 40% 45% 50% セキュリティもパフォーマンスも 同じぐらい重要である セキュリティがより 重要である パフォーマンスがより 重要である 43% 28% 17% 12% 43% 28% 29% 0% 5% 10% 15% 20% 25% 30% 35% 40% 45% 50% ノンインライン ノンプロキシ WAF* 分からない インライン *オプションは使用不能
企業は効率的に WAF を管理している。図 14 に示すように、回答者の 40% は、WAF を適切に管理す るには従業員が 1~2 名いれば良いと答えています(フルタイム相当の従業員)。 図 14. WAF を適切に管理するには従業員が何人必要ですか(フルタイム相当の従業員)。 9% 40% 28% 16% 3% 3% 0% 5% 10% 15% 20% 25% 30% 35% 40% 45% なし 1 ~ 2 人 3 ~ 5 人 6 ~ 10 人 11 ~ 15 人 16 ~ 20 人
ウェブアプリケーション攻撃による被害コスト ウェブアプリケーション攻撃によって顧客が製品やサービスを購入できなくなることによる収益の損失は 増加している。ウェブアプリケーション攻撃への対応にかかる総被害コストは、年間平均で約 240 万ドル です。表 1 に示すように、この被害コストには、テクニカルサポートとインシデントレスポンス(903,830 ド ル)、ユーザーの生産性の低下(311,382 ドル)、通常の事業活動の中断(500,695 ドル)、IT 資産やイン フラストラクチャの損傷や盗難(292,870 ドル)、顧客対応サービスが利用できないことによる収益の損 失(435,223 ドル)が含まれます。 表 1. ウェブアプリケーションが受けた攻撃による被害コスト(過去 12 か月) 推定値 FY2018 テクニカルサポートとインシデントレスポンスのコスト $903,830 ユーザーの生産性の低下 $311,382 通常の事業活動の中断 $500,695 IT 資産やインフラストラクチャの損傷や盗難 $292,870 顧客対応サービスが使用できなくなることによる収益の損失 $435,223 合計 $2,444,000 図 15 に示すように、ウェブアプリケーションへの攻撃に関連するコストで最も大きな割合を占めているの は、テクニカルサポートとインシデントレスポンスです(37%)。割合が最も小さいのは、IT 資産やインフラ ストラクチャの損傷や盗難です(12%)。 図 15. ウェブアプリケーション攻撃による被害コスト内訳 12% 13% 18% 20% 37% 0% 5% 10% 15% 20% 25% 30% 35% 40% IT 資産やインフラストラクチャの損傷や盗難 ユーザーの生産性の低下 顧客対応サービスが使用できないことによる 収益の損失 通常の事業活動の中断 テクニカルサポートとインシデントレスポンス
第2 部 b. DoS 攻撃の傾向に関する主な調査結果 このセクションでは、DoS 攻撃について分析し、次のトピックで構成されています。 DoS 攻撃の増大する脅威 DoS 攻撃による金銭的被害 DoS 攻撃の増大する脅威 自社が DoS 攻撃を非常に効果的に防止していると答えた回答者は 30% にすぎない。企業は過去 1 年間で平均 4 件の DoS 攻撃を受けています。1 件の攻撃がもたらす平均ダウンタイムは 7.45 時間で、 DoS 攻撃の緩和に 1 時間以上(60.32 分)かかっています。自社の DoS 攻撃防止の有効性を 1 = 非常 に低い、10 = 非常に有効として評価するよう求めたところ、効果的(10 段階の 7 以上)と評価したのは 回答者の 30% でした。 図 16 に示すように、DoS 攻撃による悪影響のトップは評判の低下でした(回答者の 65%)。1 件の DoS 攻撃の緩和にかかる時間およびダウンタイムが大幅に増加したことを考慮すると、企業は評判の低下と 収益の損失という被害を被っていると言えます。 図 16.DoS 攻撃による悪影響 複数回答は 2 項目まで 2% 6% 12% 21% 27% 32% 41% 65% 0% 10% 20% 30% 40% 50% 60% 70% その他 情報資産の盗難 規制またはコンプライアンス違反 所有物、工場、装置の損傷 IT スタッフの生産性の低下 エンドユーザーの生産性の低下 収益の損失 評判の低下
能力のあるセキュリティスタッフの不足は、リソースの不足よりも大きな障害となっている。図 18 に示す ように、こうした脅威を防止するうえで最も大きな障害となっているのが、能力のあるセキュリティスタッフ の不足です(回答者の 54%)。不適切または不十分なテクノロジーがそれに続きます(回答者の 43%)。 予算不足が障害だと答えたのはわずか 37% でした。 図 17. DoS 攻撃を防止するうえでの障害 複数回答は 2 項目まで 5% 10% 22% 29% 37% 43% 54% 0% 10% 20% 30% 40% 50% 60% セキュリティ関連の他の優先事項への注力 セキュリティのリーダーシップの欠如 経営幹部レベルのサポートの欠如 スタッフや社内の専門知識の不足 予算不足 不適切または不十分なテクノロジー 能力のあるセキュリティ担当者の不在
DoS 攻撃の防止、検知、封じ込めにおけるセキュリティテクノロジーの有効性を、1 = 有効性が低い、 10 = 非常に有効として評価するよう回答者に求めました。最も有効なテクノロジーと見なされたのは、 DDoS スクラビングソリューション、ISP ベースのソリューション、トラフィック/ネットワークインテリジェン スです(図 18)。 図 18. DoS 攻撃への対応に最も効果的なテクノロジー 1 ~ 10(1 が最低、10 が最高)で評価 2.08 3.27 4.09 4.22 4.75 5.02 5.10 5.24 6.33 6.49 8.39 9.12 1.0 2.0 3.0 4.0 5.0 6.0 7.0 8.0 9.0 10.0 暗号化およびその他の暗号テクノロジー コンテンツ・デリバリー・ネットワーク VPN およびセキュアゲートウェイ アンチマルウェア セキュリティインシデントおよびイベント管理 エンドポイント・セキュリティ・ソリューション 侵入検知および防止 次世代ファイアウォール ファイアウォール トラフィック/ネットワークインテリジェンス ISP ベースのソリューション DDoS スクラビングソリューション
DoS 攻撃による被害コスト DoS 攻撃による最も重大な金銭的被害は、収益の損失とテクニカルサポートへのリソース割り当ての 必要性である。DoS 攻撃への対応にかかる総被害コストは、年間平均で約 110 万ドルです。表 2 に示 すように、この被害コストには、テクニカルサポート(294,627 ドル)、生産性の低下(149,708 ドル)、通 常の事業活動の中断(230,385 ドル)、IT 資産やインフラストラクチャの損傷や盗難(120,143 ドル)、顧 客対応サービスが利用できないことによる収益の損失(347,819 ドル)が含まれます。 表 2. DoS 攻撃による金銭的被害 推定値(FY 2018) 顧客対応サービスが使用できないことによる収益の損失 $347,819 テクニカルサポート $294,627 通常の事業活動の中断 $230,385 ユーザーの生産性の低下 $149,708 IT 資産やインフラストラクチャの損傷や盗難 $120,143 合計 $1,142,682 図 19 に示すように、最大の割合を占めるのが、顧客対応サービスが使用できないことによる収益の損 失(30%)で、割合が最も小さいのは、IT 資産やインフラストラクチャの損傷や盗難です(12%)。 図 19. DoS 攻撃のもたらす金銭的被害の内訳 11% 13% 20% 26% 30% 0% 5% 10% 15% 20% 25% 30% 35% IT 資産やインフラストラクチャの損傷や盗難 ユーザーの生産性の低下 通常の事業活動の中断 テクニカルサポートとインシデントレスポンス 顧客対応サービスが使用できないことによる収益の 損失
第 3 部:調査方法 サンプル抽出枠は、アジア太平洋地域の IT 担当者および IT セキュリティ担当者 14,655 名で構成され ています。表 3 に示すように、551 名の回答者が調査を完了しました。スクリーニングにより、50 件の調 査が削除されました。最終サンプルは 501 件(回答率:3.4%)となりました。 表 3. サンプル回答状況 件数 割合(%) 合計サンプル抽出枠 14,655 100.0% 合計回答数 551 3.8% 拒否またはスクリーニングされた調査 50 0.3% 最終サンプル 501 3.4% 図 20 は、回答者の現在の職位または組織でのレベルを示しています。半数超の回答者(57%)が、 現在の職位がスーパーバイザー以上であると報告しています。 図 20. 現在の職位または組織でのレベル 1% 2% 8% 32% 14% 23% 14% 6% 0% 5% 10% 15% 20% 25% 30% 35% その他 請負業者 スタッフ 技術者 スーパーバイザー マネージャー ディレクター 上級管理者/VP
図 21 は、回答者の直属の上司を示しています。回答者の 61% は、最高情報責任者(CIO)が直属の上 司であると述べています。19% は最高情報セキュリティ責任者(CISO)が直属の上司であると答えてい ます。 図 21. 直属の上司 図 232 は、回答者の組織の業種を示しています。この図では、金融サービス(17%)が最も多く、続いて 産業機械メーカー(12%)、サービスセクター(11%)、公共部門(11%)となっています。 図 22. 業種 3% 2% 3% 4% 8% 19% 61% 0% 10% 20% 30% 40% 50% 60% 70% その他 ジェネラルカウンシル 最高リスク責任者(CRO) 最高セキュリティ責任者(CSO) コンプライアンス責任者 最高情報セキュリティ責任者(CISO) 最高情報責任者(CIO) 3% 3% 3% 3% 4% 6% 8% 10% 10% 11% 11% 12% 17% 0% 2% 4% 6% 8% 10% 12% 14% 16% 18% その他 サービス業 通信 教育および研究 運輸 エネルギーおよび公益事業 小売 医療および製薬 テクノロジーおよびソフトウェア 公共部門 サービス 産業機械メーカー 金融サービス
図 23 に示すように、回答者の半数超(63%)は、全世界の従業員数が 1,000 名超の組織に属してい ます。 図 23. 組織の全世界の従業員数 13% 24% 26% 18% 14% 5% 0% 5% 10% 15% 20% 25% 30% 500 名未満 500~ 1,000 名 5,000 名 1,001~ 25,000 名 5,001~ 25,001 ~ 75,000 名 75,000 名超
第 4 部:注意事項 調査研究には、調査結果から推論を導き出す前に慎重な検討が必要な固有の限界があります。以下の 項目は、Web ベースの調査の大半と密接な関係がある固有の限界を示しています。 非回答バイアス:現在の結果は、調査回答のサンプルに基づいています。当社から代表サンプルの個 人に調査を送信し、多数の有効な回答が返信されました。非回答テストは実施しましたが、回答しなかっ た個人の根本的な信念が、調査を完了した個人の根本的な信念と大きく異なっている可能性は常に存 在します。 サンプル抽出枠バイアス:精度は、連絡先情報と、そのリストがアジア太平洋地域内のさまざまな組織 の IT 担当者または IT セキュリティ担当者である個人をどの程度代表しているかに基づいています。ま た、当社は、結果がメディアによる報道などの外部的事象によりバイアスを受ける可能性があることを認 識しています。さらに、指定された期間内にこの調査を完了しなければならないことによってもバイアスを 受けることを認識しています。 自己報告による結果:調査研究の品質は、対象者から受領した機密性の高い回答の完全性に基づいて います。一定のチェックや調整は調査プロセスに組み込まれていますが、対象者が正確な回答を提供し ない可能性は常に存在します。
