2015年04月24日 08時00分 UPDATE
特集/連載

あらためて振り返るセキュリティ対策2014年、攻撃者に最も利用されたセキュリティの脆弱性とは?

HP Security Researchが、年に一度のサイバーリスクリポートを発表。このリポートにより、2014年に攻撃者が最も利用した攻撃手法が明らかとなった。

[Warwick Ashford,Computer Weekly]
Computer Weekly

 サイバー攻撃者が次々と新たなテクノロジーの開発を進める一方、2014年にサイバーセキュリティ上のインシデント(被害)を経験した企業や組織のほとんどにおいて、そのインシデントの原因は既知の脅威やシステム設定の不具合だという。このような調査結果を含む「Cyber Risk Report」の最新版を米HPが2015年2月に発表した。

Computer Weekly日本語版 4月15日号無料ダウンロード

16609.gif

本記事は、プレミアムコンテンツ「Computer Weekly日本語版 4月15日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。


 HP Security Researchが年1回公開しているこのリポートによると、2014年に悪用された脆弱性の上位10種(件数ベースで集計)はほとんど既知のもので、数年前あるいは数十年前からシステムに潜んでいたことが明らかになった。

 2014年に報告されたシステム侵入事例のうち、2〜4年前からシステムに存在した脆弱性を攻撃されたものは実に44%に上る。つまり、攻撃者は一般に広く知られた手法を長く使い続けている。

 リポートでは、2014年に攻撃を受けた脆弱性がユーザーのシステムにそもそも存在した理由として、最も多いのは不適切な構成のまま運用しているサーバだと特定している。サーバに不適切な設定を残すと、攻撃者にとって格好の足掛かりが用意されたことになる。言い換えると、不適切なサーバ設定が、組織全体にとっての脆弱性となる。

 「現在最大級とみられているセキュリティリスクの中には、われわれが何十年も前から把握しているものが少なくない。企業や組織がそんなリスクを放置してきた結果、必要以上に自らの組織を危険にさらしている」と指摘するのは、米HPの上級副社長で、エンタープライズセキュリティ製品担当のゼネラルマネジャーも兼任するアート・ギリランド氏だ。

 「われわれはセキュリティを他人任せにして、将来決定的な(攻撃に対する防御や情報保護の)テクノロジーが登場するのをただ待つような、リスクを防ぐことについて逃げ腰の姿勢ではいけない。全く逆が望ましい。組織は抜本的なセキュリティ戦略に取り組まなければならない。既知の脆弱性に対処するのはもちろん、さらに一歩踏み込んで積極的にリスクをある程度事前に排除しておくくらいの戦略だ」(ギリランド氏)

 さらにリポートは次のように指摘する。

この記事を読んだ人にお薦めのホワイトペーパー

この記事を読んだ人にお薦めの関連記事

Loading

注目テーマ

ITmedia マーケティング新着記事

news090.jpg

HAROiD、テレビの共通ポイントサービス「CHARiN」を本格始動
HAROiDは、テレビやWebでポイントが貯まる新サービス「CHARiN(チャリン)」を2016年7月3...

news157.jpg

DSP「Logicad」がダイナミックネイティブアドの「カメレオン」と連係
ソネット・メディア・ネットワークスは、DSP「Logicad」において、ヒトクセが運営する「...

news114.jpg

ユーザーが作成したコンテンツをFacebook広告へ利用可能に、シャトルロックジャパンが支援サービスを提供
シャトルロックジャパンは、ユーザーコンテンツの収集から活用までワンストップで提供す...