Rodman Ramezanian 著 - Skyhigh Security グローバルクラウド脅威リード
2024年5月21日 4 分で読めます
今年もこの時期がやってきました!Verizon の高く評価されている Data Breach Investigations Report (DBIR) の最新版が公開され、絶えず変化する脅威の状況、最も重要な攻撃ベクトル、および標的となる業界について、主要なハイライトと貴重な洞察を提供しています。情報セキュリティ業界の年間成績表と考えることができます。
2024年版は、このレポートの17回目の発行となり、進化するサイバー脅威環境の認識から始まります。特に、昨年はサイバー犯罪が非常に活発でした。Verizon は30,458件の実際のセキュリティインシデントを分析し、そのうち10,626件がデータ侵害として確認されました。これは過去最高を記録し、94カ国の被害者に影響を与えました。
まだこの最新の Verizon DBIR レポートをご覧になっていない方のために、いくつかの 主要なポイントと興味深い洞察 をご紹介します。
ソーシャルエンジニアリングやエラーベースの攻撃と比較して基本的なWebアプリケーション攻撃は減少したものの、盗まれた認証情報は依然として攻撃の77%に関与しています。
「人間は最も弱いリンクである」という言葉がここでは当てはまります。厳格なセキュリティ対策にもかかわらず、人間はシステム設定ミス、脆弱なパスワード、悪意のあるリンクやソフトウェアの誤用といったソーシャルエンジニアリングやエラーに対して脆弱なままです。認知バイアスも役割を果たし、脅威検出への過信や攻撃リスクの過小評価につながります。Verizonの最近の調査結果は、これらの継続的な脆弱性を浮き彫りにしています。
ゼロトラストの原則を採用することは、人間のエラーや脆弱性に対処するために不可欠です。これは、すべてのユーザーとデバイスを継続的に検証し、内部ユーザーを本質的に信頼することへの依存を減らすためです。ゼロトラストは厳格なアクセス制御を強制し、人間のミスや悪意のある行動による潜在的な損害を制限し、監視を強化して疑わしい活動を迅速に検出し対応することで、人間の行動に関連するリスクを軽減します。
これらの攻撃が人間に大きな影響を与えたことは言うまでもありませんが、対象期間において、企業データが間違いなく最大の被害者でした。データが恐喝犯によって暗号化され身代金として保持されたか、多数発生したフィッシング攻撃で失われたか、あるいはレガシーVPNテクノロジーが悪用されたために盗まれたかにかかわらず、データ損失はレポート全体を通じて最も一般的な共通点の1つでした。
これは、セキュリティに対するデータ中心のアプローチの重要性を改めて強く認識させるものです。結局のところ、サイバーセキュリティは根本的にデータの問題です。フィッシング攻撃で主に標的となるメールベクトル、ますます多くのデータを保持するクラウド資産、そして企業環境全体に分散する内部データにおいて、データがどこに存在し、どこへ移動しても一貫して識別、分類、保護されることが不可欠です。
Verizonの「Year in review」スナップショットを見ると、VPN製品が関与する注目度の高い攻撃が何度か登場しました。Verizon自身の言葉を引用すると、「インターネット上の攻撃対象領域を増やすものはすべて標的となり、外部の脅威アクターにとって最初の足がかりとなる可能性があります。そのため、足がかりを最小限に抑えることに焦点を当てるべきです。」
これは、業界およびセキュリティのソートリーダーからのゼロトラストの原則を採用するという継続的な推進を改めて強化するものです。その理由をいくつかご紹介します。
Verizonの年次データ侵害調査報告書は、世界中のあらゆる規模の組織を悩ませ続けている、世界的に蔓延する脅威、リスク、脆弱性に光を当て続けているため、常に歓迎されます。
組織がこれらの洞察に注意を払い、セキュリティ体制を強化することを常に期待しています。しかし、現実は、フィッシング、ソーシャルエンジニアリング、ラテラルムーブメント攻撃といった、より一般的で繰り返される多くのテーマが、かなり驚くべき量で出現し続けていることです。
前述のとおり、私たちはセキュリティに対するデータ中心のアプローチを強く推奨します。これは、データがどこで使用されようと、どのデバイスによって、どのような接続手段やコラボレーションを通じて、どの場所からでも、データの保護に焦点を当てることを意味します。データの保護を優先することは、最終的にVerizonの報告書で強調されている多くの脅威やリスクを軽減する上で組織を支援することになるでしょう。
ブログへ戻るStuart Bayliss and Sarang Warudkar June 25, 2026
Sarang Warudkar June 17, 2026
サラン・ワルドカー、スチュアート・ベイリス 2026年5月21日
サラン・ワルドカル 2026年5月19日