HP Security Researchが、年に一度のサイバーリスクリポートを発表。このリポートにより、2014年に攻撃者が最も利用した攻撃手法が明らかとなった。
サイバー攻撃者が次々と新たなテクノロジーの開発を進める一方、2014年にサイバーセキュリティ上のインシデント(被害)を経験した企業や組織のほとんどにおいて、そのインシデントの原因は既知の脅威やシステム設定の不具合だという。このような調査結果を含む「Cyber Risk Report」の最新版を米HPが2015年2月に発表した。
本記事は、プレミアムコンテンツ「Computer Weekly日本語版 4月15日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。
なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。
HP Security Researchが年1回公開しているこのリポートによると、2014年に悪用された脆弱性の上位10種(件数ベースで集計)はほとんど既知のもので、数年前あるいは数十年前からシステムに潜んでいたことが明らかになった。
2014年に報告されたシステム侵入事例のうち、2〜4年前からシステムに存在した脆弱性を攻撃されたものは実に44%に上る。つまり、攻撃者は一般に広く知られた手法を長く使い続けている。
リポートでは、2014年に攻撃を受けた脆弱性がユーザーのシステムにそもそも存在した理由として、最も多いのは不適切な構成のまま運用しているサーバだと特定している。サーバに不適切な設定を残すと、攻撃者にとって格好の足掛かりが用意されたことになる。言い換えると、不適切なサーバ設定が、組織全体にとっての脆弱性となる。
「現在最大級とみられているセキュリティリスクの中には、われわれが何十年も前から把握しているものが少なくない。企業や組織がそんなリスクを放置してきた結果、必要以上に自らの組織を危険にさらしている」と指摘するのは、米HPの上級副社長で、エンタープライズセキュリティ製品担当のゼネラルマネジャーも兼任するアート・ギリランド氏だ。
「われわれはセキュリティを他人任せにして、将来決定的な(攻撃に対する防御や情報保護の)テクノロジーが登場するのをただ待つような、リスクを防ぐことについて逃げ腰の姿勢ではいけない。全く逆が望ましい。組織は抜本的なセキュリティ戦略に取り組まなければならない。既知の脆弱性に対処するのはもちろん、さらに一歩踏み込んで積極的にリスクをある程度事前に排除しておくくらいの戦略だ」(ギリランド氏)
さらにリポートは次のように指摘する。
本記事は抄訳版です。全文は、以下でダウンロード(無料)できます。
■Computer Weekly日本語版 最近のバックナンバー
Computer Weekly日本語版 4月1日号:実用化が進むバーチャルリアリティ
Computer Weekly日本語版 3月18日号:コンピュータ教育最大の課題は?
Computer Weekly日本語版 3月4日号:Windows 10で試されるIT部門
Copyright © ITmedia, Inc. All Rights Reserved.
トランプ氏勝利で追い風 ところでTwitter買収時のマスク氏の計画はどこへ?――2025年のSNS大予測(X編)
2024年の米大統領選挙は共和党のドナルド・トランプ氏の勝利に終わった。トランプ氏を支...
AI導入の効果は効率化だけじゃない もう一つの大事な視点とは?
生成AIの導入で期待できる効果は効率化だけではありません。マーケティング革新を実現す...
ハロウィーンの口コミ数はエイプリルフールやバレンタインを超える マーケ視点で押さえておくべきことは?
ホットリンクは、SNSの投稿データから、ハロウィーンに関する口コミを調査した。