2014年、攻撃者に最も利用されたセキュリティの脆弱性とは？：あらためて振り返るセキュリティ対策

HP Security Researchが、年に一度のサイバーリスクリポートを発表。このリポートにより、2014年に攻撃者が最も利用した攻撃手法が明らかとなった。

[Warwick Ashford，Computer Weekly]

　サイバー攻撃者が次々と新たなテクノロジーの開発を進める一方、2014年にサイバーセキュリティ上のインシデント（被害）を経験した企業や組織のほとんどにおいて、そのインシデントの原因は既知の脅威やシステム設定の不具合だという。このような調査結果を含む「Cyber Risk Report」の最新版を米HPが2015年2月に発表した。

Computer Weekly日本語版　4月15日号無料ダウンロード

本記事は、プレミアムコンテンツ「Computer Weekly日本語版　4月15日号」（PDF）掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

• Computer Weekly日本語版　4月15日：スマートウオッチの業務利用

なお、同コンテンツのEPUB版およびKindle（MOBI）版も提供しています。

　HP Security Researchが年1回公開しているこのリポートによると、2014年に悪用された脆弱性の上位10種（件数ベースで集計）はほとんど既知のもので、数年前あるいは数十年前からシステムに潜んでいたことが明らかになった。

　2014年に報告されたシステム侵入事例のうち、2〜4年前からシステムに存在した脆弱性を攻撃されたものは実に44％に上る。つまり、攻撃者は一般に広く知られた手法を長く使い続けている。

　リポートでは、2014年に攻撃を受けた脆弱性がユーザーのシステムにそもそも存在した理由として、最も多いのは不適切な構成のまま運用しているサーバだと特定している。サーバに不適切な設定を残すと、攻撃者にとって格好の足掛かりが用意されたことになる。言い換えると、不適切なサーバ設定が、組織全体にとっての脆弱性となる。

　「現在最大級とみられているセキュリティリスクの中には、われわれが何十年も前から把握しているものが少なくない。企業や組織がそんなリスクを放置してきた結果、必要以上に自らの組織を危険にさらしている」と指摘するのは、米HPの上級副社長で、エンタープライズセキュリティ製品担当のゼネラルマネジャーも兼任するアート・ギリランド氏だ。

　「われわれはセキュリティを他人任せにして、将来決定的な（攻撃に対する防御や情報保護の）テクノロジーが登場するのをただ待つような、リスクを防ぐことについて逃げ腰の姿勢ではいけない。全く逆が望ましい。組織は抜本的なセキュリティ戦略に取り組まなければならない。既知の脆弱性に対処するのはもちろん、さらに一歩踏み込んで積極的にリスクをある程度事前に排除しておくくらいの戦略だ」（ギリランド氏）

　さらにリポートは次のように指摘する。

続きはComputer Weekly日本語版　4月15日号にて

本記事は抄訳版です。全文は、以下でダウンロード（無料）できます。

• Computer Weekly日本語版　4月15日：スマートウオッチの業務利用

■Computer Weekly日本語版 最近のバックナンバー

Computer Weekly日本語版　4月1日号：実用化が進むバーチャルリアリティ

Computer Weekly日本語版　3月18日号：コンピュータ教育最大の課題は？

Computer Weekly日本語版　3月4日号：Windows 10で試されるIT部門