調査「グローバルな情報セキュリティの状態2015」(GSISS 2015)。 パート1

PwCの研究は非常に膨大であるため、部分的に公開されています。

今日、情報セキュリティはビジネスリスクの不可欠な部分です。 現在、この問題は、情報技術とセキュリティの専門家だけでなく、経営トップと取締役会がISの問題に関与していることにも関係しています。 消費者も心配しており、潜在的なセキュリティインシデントや脅威に遅れないようにしたいと考えています。







セキュリティインシデント(セキュリティインシデントは、情報セキュリティのさまざまな側面を脅かす望ましくないインシデントとして定義されています)のメディアレポートは、天気予報のようにありふれたものになり、過去12か月にわたって、世界中のほぼすべての産業部門が何らかのタイプのサイバー脅威にさらされています。 インシデントの増加に伴い、政府は組織がサイバー犯罪と戦うのを支援することにより積極的になっています。 たとえば、FBIは、銀行、小売業者、軍事請負業者を含む3,000社が2013年のサイバー攻撃の被害者であることを明らかにしました。 その後、米国司法省は、中国の5人の軍事ハッカーに、核、金属、および太陽の分野の米国企業に対する経済的なサイバースパイ活動を行ったことを告発しました。 経済スパイ法のセクション1831に従って、米国が外部サイバー攻撃を通じて政府当局者を経済スパイ行為で告発したのはこれが初めてです。 ショーンジョイス(PwCのコンサルティング責任者およびFBIの元副ディレクター)の予測によると、この傾向は続く可能性が高い。 「司法省とFBIが、米国経済に重大な経済的損害を与える事業体に対して積極的な戦略をどのように実施し続けるかを見ると思います」とジョイスは言います。



昨年、大規模な小売企業に対する攻撃は信じられないほどの割合に達し、数億件の顧客支払いカードのエントリが盗まれました。 これにより、訴訟が大幅に増加し、米国で新しい支払いカード標準が早急に導入されました。 英国では、会社の内部関係者が、100,000人のスーパーマーケットチェーンの従業員の賃金と銀行口座番号に関する情報を盗みました。その後、この情報はオンラインで公開されました。 韓国も大規模な消費者データの盗難を報告し、1億500万件のペイメントカードアカウントが攻撃されました。 ドイツのヴェルダンで、市当局は1800万のメールアドレス、パスワード、その他の情報の盗難を発表しました。







スノーデンの啓示を受けて、小売業者への攻撃は情報セキュリティの懸念にさらに大きな宣伝をしました。 サーベイランスにおける大声での啓示により、国際企業や政府でさえ、政府機関に関連する可能性のある企業を除き、商品やサービスのサプライヤーのリストを改訂するようになりました。 特に、シマンテックは、主要なEU諸国の政府に対するスパイ行為の発見を報告しました。 選択された目標と極めて重要なマルウェアに基づいて、シマンテックは、グループが州の1つをサポートして攻撃を調整したと結論付けました。 特にロシアとウクライナの間の地政学的な対立は、政府のサイトでの反撃と大使館デバイスでのマルウェアの拡散をもたらします。



他の重要なインフラストラクチャプロバイダーも攻撃を受けています。 ハッカーのグループは、インターネットを介して米国の公益企業への侵入に成功し、制御システムを侵害しましたが、被害が発生する前に侵入は停止されました。 第3州の背後にいる犯罪者は、洗練されたマルウェアを使用して、米国およびヨーロッパの数百のエネルギー企業を産業用制御システムに侵入させています。



サイバー攻撃の被害者のリーダーは、金融業界の企業のままです。 証券取引所への攻撃は一般的になっています。 国際証券委員会(IOSCO)および世界取引所連盟が実施した世界中 46の証券取引所の調査では、サイトの半分以上(53%)がサイバー攻撃を受けていることが示されました。 銀行セクターもそれほど遅れていません。攻撃の1つであるサイバー犯罪者は、世界中の2つの中東の銀行のATMを4,500万ドル強奪しました。



また、いわゆる「モノのインターネット」セグメントへの攻撃が増加しています。ネットワークに接続されたデバイスのエコシステムは、ベビーモニター、家庭用サーモスタット、新しいテレビなど、私たちにとって生活を楽にするように設計されています。 これらのインターネット接続デバイスは、最近のHP Fortify on Demandの調査で確認されているように、基本的なセキュリティシステムさえ備えていないため、攻撃に対して非常に脆弱です。 HPは最も人気のある10の接続デバイスを調査し、それらの70%に重大な脆弱性が含まれていることを確認しました。



IOActiveは、ハッカーが特定の車の電子制御ユニットをどのように制御できるかを詳細に示す調査を公​​開し、攻撃を検出するメカニズムを提供しています。 相互接続され、場合によっては無線を介して外界に接続する数十の電子デバイスを含む車は、その後ブレーキ、ステアリング、さらにはエンジンを監視することでハッキングされる可能性があると報告されています。







規制当局



The New York Times、The Financial Times、CNN、Reutersなど、世界で最も尊敬され人気のあるニュース機関のいくつかは昨年、侵害されました。 最も有名な攻撃の多くは、中東地域の当局に関連するハッカーによって実行されました。 このリストは完全とはほど遠いものであり、攻撃または侵害された企業の正確な数を見つけることは不可能であり、これにはいくつかの理由があります。 第一に、一部の企業は攻撃を受けたことを知らず、第二に、企業は評判や重大な損失、訴訟、その他のチェックを回避するために事件を公に報告することを恐れます。 検査といえば、世界中の規制当局が情報セキュリティ分野の企業の規則と要件を厳しくし始めています。

上記を確認するために、50を超えるブローカーディーラーと投資コンサルティング会社で情報セキュリティテストを実施する米国証券取引委員会の計画の例を挙げることができます。 アジアでは、シンガポール個人データ保護法により、個人データの収集、使用、開示に関する新しい基準が設定されています。 新しい要件に準拠しない組織には、最大100万SGDまたは788'995ドルの罰金が科されます。







米国証券取引委員会の新しいガイドには、サイバー攻撃に対する保険の利用可能性や、すべてのインシデントと違反の完全なインベントリを作成する機能など、いくつかの新しい独自の要件があります。 管理では、企業がリスク評価メカニズムを実装し、ベンダーのリスクとデューデリジェンスをより効果的に評価することも必要です。



欧州連合データ保護規則の採択を待っている多国籍組織のリーダー。2015年に最終バージョンが予定されています。 市場参加者は、個人データ、特に情報セキュリティシステムのリスク評価と監査を処理する企業に対する厳しい要件と、侵害された企業に対する罰金の倍増(企業の年間売上高の2%から5%)を期待しています。 セキュリティインシデントの場合の通知に関する新しいEU要件により、ヨーロッパでのサイバー攻撃の状況をより正確に評価することが可能になります。 John Woods(Baker&McKenzie Law Firmのサイバーセキュリティプラクティス部門の有力な従業員の1人)によると:「米国では、セキュリティインシデントを報告する州法により、攻撃と妥協の多くのケースが明らかになりました。情報セキュリティ。 欧州規格が同じ結果をもたらすかどうかを観察することは興味深いでしょう。」



また、組織が自主的に情報セキュリティを向上させるための新しい政府の取り組みを目の当たりにしています。 米国では、2013年に情報セキュリティのレベルを上げるという大統領の特別命令により、米国国立標準技術研究所(NIST)の標準が作成されました。 この規格のバージョン1.0は、情報セキュリティを評価および改善するために個々の企業によって自主的に実装され、サイバー脅威に対応するための議論、協力、および戦術のための共通プラットフォームも作成します。 セキュリティを促進するための民間部門の取り組みは、ハッカーがそれらを利用する前に未知の脅威を特定してブロックすることによりセキュリティを促進することを目的とするGoogleのイニシアチブ、Project Zeroの立ち上げに代表されます。 Googleは、Project Zeroのエンジニアは、広く使用されているソフトウェアのセキュリティを改善し、攻撃者の動機と技術を研究し、侵害の影響を効果的に監視および排除する分野で研究を行うと述べています。



情報セキュリティサービスの市場は成長しています



インシデント数の増加(2013年と比較して2014年に48%増加)および規制要件の厳格化の結果、企業および政府機関は、データを保護するために情報セキュリティのレベルを上げることを余儀なくされています。 これは、情報セキュリティの分野におけるソリューションとテクノロジーの数の増加に弾みをつけます。







調査会社のガートナーは、2014年に世界のITセキュリティ支出が7.9%増加して71,100,000'000ドルになり、2015年に8.2%増加して76,900'000'000ドルになると予測しています。 セキュリティインシデントの増加とメディアでの報道により、情報セキュリティサービスを提供する企業へのベンチャーキャピタル投資の流れが開かれました。 2014年の最初の6か月間、ベンチャーキャピタルファンドは、情報セキュリティセグメントの新興企業に米国で894'000'000ドルを投資しました。 この金額は、2013年のすべてのスタートアップへの投資とほぼ同じです。 これは、過去10年間の情報セキュリティ分野へのすべての投資を上回っています。 同時に、昨年、一部のセキュリティ会社の資本化が最高水準に達しました。



たとえば、ネットワークセキュリティプロバイダーであるFireEyeは、2013年のIPOで3億400万ドルを評価した後、現在の時価総額は約46億ドルです。パロアルトネットワークス(企業部門の情報セキュリティに特化) 、そして現在約62億ドルの時価総額を持っています。







永続的な資本主義のブームの真っAt中、情報セキュリティセグメントの一部の企業の評価は、年間収益の5〜10でした。 現時点では、市場で修正が行われており、セグメントが「バブル」になっていることを誰もが理解しています。崩壊を避けるために、投資家は情報セキュリティへの投資率を徐々に下げています。 これにより、一部の企業は以前の評価額の最大半分を失うことになりました。 ソフトウェアおよびセキュリティサービス市場は、 トップマネジメントと取締役会は、サイバー攻撃が決して止まらず、規制当局の要件が厳しくなることを理解しています。



情報セキュリティの分野におけるベンチャーキャピタルの市場は、ヨーロッパで成長しています。



-ロンドンに本拠を置くC5Capitalは、1億2500万ドルのセキュリティ指向のファンドを調達し、BalaBit 22への800万ドルの投資を発表しました。

-インデックスベンチャーズ基金は、このセグメントに5億5,000万ドルを割り当て、欧州、イスラエル、米国の情報セキュリティ企業に門戸を開き、今年も情報セキュリティセグメントの合併と買収の分野で活動しています。

-FireEyeはMandiantを約10億ドルで買収しました。

-Cisco Systemsは、Sourcefireを27億ドルで買収しました。







継続する...



All Articles