米国証券取引委員会に最近提出された、国内最大手の企業によるサイバー攻撃の報告に関する書類では、矛盾した結論に達するかもしれません。
ブルームバーグによると、SECにサイバー攻撃を報告した米国の大手企業27社(売上高順)のうち、全社が侵入による大きな経済的損失は受けていないと述べている。
アマゾン、AT&T、ベライゾンを含むほぼ半数(12社)は、自社システムへのサイバー攻撃が「重大な影響はなかった」と報告した。シティグループは、インターネットバンディットによる「限定的な損失と支出」を被ったと報告した。
注: 企業は、コンピュータシステムへの侵入を報告する際には、秘密にしておくことが知られています。
ブルームバーグこれらの企業の報告は、外国勢力やサイバー犯罪者によるアメリカの知的財産の略奪をめぐる国民の議論の中で巻き起こっている論争の多くは、炎上というよりはむしろ蒸気である可能性があることを示唆している。
背景
ここ数週間、米国連邦準備制度理事会(FRB)、複数の大手国内銀行、そして複数の大手メディアに対する大規模なサイバー攻撃が相次ぎ、ネット侵入問題の深刻さが国民の意識に新たに浮上しました。オバマ大統領は2月、企業や重要インフラをネット攻撃からより強力に保護するための大統領令を発令しました。
しかし、企業がSECに報告している内容は、ワシントンやその他の方面でサイバー攻撃に関して発せられている警告と矛盾しているようだ。
「標的になったことを公表した企業がわずか27社だったというのは驚くべきことだ」と、コロラド州ボルダーのネットワークセキュリティソリューションプロバイダー、LogRhythmの創業者兼CTO、クリス・ピーターセン氏はPCWorldに語った。
「現在出回っているあらゆる証拠は、100人中100人が確実に標的にされているという事実を示している」と彼は主張した。
しかし、彼は、これらの企業にとって「重要」なものには高いハードルがある可能性があると指摘した。
「100万ドル、200万ドル、300万ドルといった金額は、これらの組織にとっては取るに足らない金額だ」と彼は語った。
SECの要件
SECは2011年10月、サイバー攻撃とそのビジネスへの脅威に関する企業の報告に関するガイドラインを採択しました。このガイドラインは、企業に対し、「これらの問題が、企業への投資を投機的またはリスクの高いものにする最も重要な要因の1つである場合」にサイバーインシデントを開示するよう指示しています。
SECのガイドラインを批判する人々は、SECが企業からサイバー攻撃に関するより多くの情報を引き出す必要があると指摘している。SECはブルームバーグに対し、ガイドラインは効果を上げていると述べた。
しかし、ブルームバーグの報道によると、SECはアマゾン、コムキャスト、ベライゾンを含む一部の企業に対し、最近の提出書類で2011年よりも多くのサイバー攻撃情報を提出するよう求めざるを得なくなったという。
防御力は向上しますか?
ワシントンDCの国家サイバーセキュリティ同盟のエグゼクティブディレクター、マイケル・カイザー氏によると、ブルームバーグの調査結果はサイバー攻撃の状況についての狭い見方かもしれないが、システム防御者にとっては明るいニュースも含まれているという。
「大企業が自社の防御をより効果的に行っていることは、以前から知られていました」と彼はPCWorldに語った。
「したがって、世界最大級のブランドが攻撃に抵抗したり、その影響を軽減したりできることは良い兆候だ」と彼は主張した。
しかし、彼はこう付け加えた。「極めて脆弱な中小企業は、非常に多く存在します。時には、より防御力の高い大企業への裏口を狙って攻撃されることもあります。」
