事業を脅かしかねないサイバー攻撃は、どの企業にも存在し得る脆弱性が引き金になる場合がある。放置すべきではない代表的な5つの脆弱性と、その具体的な修正法を解説する。
サイバー攻撃は激しさを増す一方だ。偽のメールやWebサイトを使って標的の機密情報を盗み取るフィッシング攻撃、ランサムウェア(身代金要求型マルウェア)攻撃といった、日々巧妙化する脅威に企業は直面している。こうした攻撃が成功するのは、企業に“穴”となるさまざまな脆弱(ぜいじゃく)性が存在するからだ。企業に共通して見られ、迅速に対処することが望ましい代表的な5つの脆弱性を紹介する。
自社に潜む脆弱性を特定し、対策の優先順位を見極めることは簡単ではない。以下に挙げる脆弱性とその原因、対策を理解することで、セキュリティ担当者は自社のインシデントリスクを軽減し、事業継続性を高めることにつなげられる。
「アンチマルウェア」(「アンチウイルス」とも)ツールは、企業にとって主要なエンドポイント保護対策だ。だがパッチ(修正プログラム)未公開の脆弱性を悪用した「ゼロデイ攻撃」が多発しており、従来のアンチマルウェアツールでは防ぎ切れない場合がある。
エンドポイントセキュリティ対策が不十分になるのは、以下に挙げる従来型アンチマルウェアツールの検出・対処能力不足が主な原因だ。
エンドポイントの不審な振る舞いを検出し、迅速に対処するには、「EDR」(Endpoint Detection and Response)ツールが有効だ。EDRツールは高度な攻撃の検出、エンドポイントの振る舞い分析、インシデント対処機能を備え、脅威に対する包括的な防御を実現する。従来型のアンチマルウェアツールを使用する場合は、振る舞い分析の強化、リアルタイムでのインシデント対処機能、詳細なフォレンジック(インシデント発生時の痕跡調査や被害解明の取り組み)機能を組み込んだツールへの変更を検討すべきだ。
データを暗号化するランサムウェアに加えて、自然災害やシステム障害といった不測の事態に備え、企業はデータのバックアップとリカバリー体制を整えておく必要がある。だがそうした体制がそろっていない企業が散見される。
データベースの複製(レプリケーション)、ストレージの同期、エンドユーザーが利用するデータのアーカイブやバックアップといった、バックアップとリカバリーの重要な手順を十分に実施していないことが要因だ。
バックアップとリカバリーに関する戦略を策定し、以下の施策を実施する。
社内ネットワークのセグメンテーションとモニタリング(監視)が不十分である場合、攻撃者が一度ネットワークに侵入できてしまうと、横展開してサブネット(ネットワークを論理的に分割した単位)内の他のシステムにアクセスできるようになる。これは重大な脆弱性であり、大規模な社内ネットワークで放置され続けているケースがある。このような侵入を許すと、攻撃者はさまざまなシステムを次々に侵害し、潜伏を続けることも可能になってしまう。
根本的な原因は、サブネットの通信状況の欠如だ。攻撃者が、外部にある攻撃用サーバ(C&Cサーバ)と通信している可能性を示す、不審なトラフィック(ネットワークを流れるデータ)のモニタリングも重要になる。特に大企業では、数百から数千件のシステムがネットワーク内で同時に通信し、外部にデータを送信している場合があるため、これらの通信全てをモニタリングすることは簡単ではない。
サブネット内のシステム間のアクセスを厳格に管理することが重要だ。そのためには、本来通信する必要がないシステム間のトラフィックを検出して、アラートを発する仕組みを構築する。具体的には、DNS(ドメインネームシステム)への異常な名前解決要求、明確な理由がないシステム間通信、トラフィックの異常な偏りをモニタリングする。プロキシサーバ、ファイアウォール、ネットワークを複数のセグメントに分割する技術「マイクロセグメンテーション」は、トラフィックとシステム間通信に対して厳格なポリシーを策定、適用することに役立つ。
認証情報を適切に管理できていない状態は、よくある脆弱な状態だ。1つのパスワードを複数システムで使いまわす従業員、単純な認証方式しか提供しないシステムやサービスの存在が、脆弱性の温床になっている。
一般的に、認証情報のライフサイクルとポリシーに対するガバナンス(統制)と監督が欠けていることが原因だ。これには従業員のアクセス権限に対する不適切な設定、不十分なパスワードポリシー、認証ツールや設定の管理不備、不適切な権限昇格を許すアクセス権限の管理不備などがある。
長く複雑なパスワードの使用、定期的なパスワードの更新などを義務付ける、厳格なパスワードポリシーを策定しよう。生体認証などのパスワードレス認証も、不適切なパスワードの使用を防ぐのに役立つ。機密性の高いデータへのアクセスには、認証ツールを使ってMFA(多要素認証)を要求するように設定する。
ソーシャルエンジニアリング(人の心理を巧みに操って意図通りの行動をさせる詐欺手法)の危険性は広く認知されているものの、依然として企業の悩みの種だ。人的ミスやだまされやすさは、データ漏えいにおける主要な原因だ。攻撃の最初の一手が、特定の個人や企業を狙う標的型ソーシャルエンジニアリング、特にフィッシング攻撃である事例が後を絶たない。
フィッシング攻撃、巧妙な口実で標的をだます「プリテキスティング」攻撃といったソーシャルエンジニアリングが成功する要因は、従業員に対する適切なセキュリティ意識向上トレーニングが欠けていることにある。企業は従業員がソーシャルエンジニアリングを見分けて報告できるよう、従業員をトレーニングすることに苦労している。
フィッシング、プリテキスティングといったソーシャルエンジニアリングを網羅した定期的なトレーニングを実施することが欠かせない。そのためには、セキュリティ意識の向上を目的としたトレーニングプログラムを利用するとよい。トレーニングは可能な限り従業員の実際の業務内容に関連した、具体的なシナリオで実施すべきだ。フィッシングメールを用いた実践的なテストを定期的に実施し、従業員の成功率、失敗率を記録、分析する。改善が見られない従業員に対しては、個々の理解度や業務内容に応じたフォローアップを実施する。
本稿で取り上げた5つの脆弱性は、どの企業でも共通して見られる一般的な脆弱性だ。だが実際には、さらに多くの脆弱性が存在する。情報漏えいを防ぐため、企業は自社にとって最も効果的なセキュリティ対策を検討し、実施すべきだ。脆弱性への対策が完了した後は、Webアプリケーションのセキュリティ強化を推進するコミュニティー「OWASP」(Open Web Application Security Project)提唱のセキュリティ指針「OWASP Top Ten」が示す、より高度な脆弱性の解消にも取り組むとよい。
米国Informa TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
