サイバー攻撃者が次々と新たなテクノロジーの開発を進める一方、2014年にサイバーセキュリティ上のインシデント(被害)を経験した企業や組織のほとんどにおいて、そのインシデントの原因は既知の脅威やシステム設定の不具合だという。このような調査結果を含む「Cyber Risk Report」の最新版を米HPが2015年2月に発表した。
本記事は、プレミアムコンテンツ「Computer Weekly日本語版 4月15日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。
なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。
HP Security Researchが年1回公開しているこのリポートによると、2014年に悪用された脆弱性の上位10種(件数ベースで集計)はほとんど既知のもので、数年前あるいは数十年前からシステムに潜んでいたことが明らかになった。
2014年に報告されたシステム侵入事例のうち、2〜4年前からシステムに存在した脆弱性を攻撃されたものは実に44%に上る。つまり、攻撃者は一般に広く知られた手法を長く使い続けている。
リポートでは、2014年に攻撃を受けた脆弱性がユーザーのシステムにそもそも存在した理由として、最も多いのは不適切な構成のまま運用しているサーバだと特定している。サーバに不適切な設定を残すと、攻撃者にとって格好の足掛かりが用意されたことになる。言い換えると、不適切なサーバ設定が、組織全体にとっての脆弱性となる。
「現在最大級とみられているセキュリティリスクの中には、われわれが何十年も前から把握しているものが少なくない。企業や組織がそんなリスクを放置してきた結果、必要以上に自らの組織を危険にさらしている」と指摘するのは、米HPの上級副社長で、エンタープライズセキュリティ製品担当のゼネラルマネジャーも兼任するアート・ギリランド氏だ。
「われわれはセキュリティを他人任せにして、将来決定的な(攻撃に対する防御や情報保護の)テクノロジーが登場するのをただ待つような、リスクを防ぐことについて逃げ腰の姿勢ではいけない。全く逆が望ましい。組織は抜本的なセキュリティ戦略に取り組まなければならない。既知の脆弱性に対処するのはもちろん、さらに一歩踏み込んで積極的にリスクをある程度事前に排除しておくくらいの戦略だ」(ギリランド氏)
さらにリポートは次のように指摘する。
本記事は抄訳版です。全文は、以下でダウンロード(無料)できます。
■Computer Weekly日本語版 最近のバックナンバー
Computer Weekly日本語版 4月1日号:実用化が進むバーチャルリアリティ
Computer Weekly日本語版 3月18日号:コンピュータ教育最大の課題は?
Computer Weekly日本語版 3月4日号:Windows 10で試されるIT部門
CEOと従業員の給与差「299倍」をどう考える?
今回は、米国の労働事情における想像を超える格差について取り上げます。
日立ソリューションズが仮想イベントプラットフォームを提供開始
セミナーやショールームなどを仮想空間上に構築。
経営にSDGsを取り入れるために必要な考え方とは? 眞鍋和博氏(北九州市立大学教授)と語る【前編】
企業がSDGsを推進するために何が必要なのか。北九州市立大学の眞鍋和博教授と語り合った。
ITmediaはアイティメディア株式会社の登録商標です。
