現在ではMicrosoftのWindowsオペレーティングシステム以外にも攻撃対象が広がっている。しかし、より重要なのは、企業と顧客との関係における脆弱性の問題が増えてきたことである。地震のようなものとのんきに構えている場合ではない。
SANS Instituteの最新のセキュリティ脆弱性リストに関してはいろいろなことが言われているが、はっきりしているのは、現在ではMicrosoftのWindowsオペレーティングシステム以外にも攻撃対象が広がっているということだ。
他のプラットフォーム、特にAppleやLinuxへの攻撃が増加しているという事実を重要視する人もいるが、SANS Instituteの研究責任者であるアラン・パーラー(Alan Paller)氏は、最近のセキュリティホールの全体的な動向に見られる最大の変化は、攻撃対象がオペレーティングシステムからアプリケーションに移っていることだと述べている。
パーラー氏はITMJのインタビューにこう答えている。「これまでは、攻撃されるシステム、つまりハッカーの標的になるシステムはほとんどがオペレーティングシステムであり、これが長年問題になっていた。しかし今では、アプリケーションに対する攻撃が増加しており、報告される弱点の3分の1を占めるほどになっている。これは明らかな傾向であり、我々の側にも、今までとは異なる対応が必要になってくる」。
企業のITマネージャーは、アップデートやパッチの適用が遅れたり、ソフトウェアが適切に登録されていなかったりすると、どこが弱点なのかわからない状況に追い込まれてしまう、とパーラー氏は指摘している。
「ビジネスの世界では、弱点の有無を調査する必要があるし、弱点があるかどうかを知るための手法を確実に持っていなければならない」と彼は述べている。
今日では、ソフトウェアやアンチウイルスファイルのアップデートを毎週あるいは毎日行う必要があるが、パーラー氏によれば、もっと頻繁に、毎時間くらいのペースでしなければならないのは、ネットワーク上に新しいマシンや装置が追加されているかどうかのチェックである。これはトラブルの前兆だ。
「これは非常に大きな落とし穴で、たくさんの人がこの落とし穴にはまっている」。新しい、まだセキュリティ対策が施されていないマシンを一晩中ネットワークにつないでおいたり、その後ずっとそのままにしたりするケースも少なくない、とパーラー氏は指摘する。「脆弱なシステムを見つけるための自動スキャンプログラムが15〜1万2000個もあれば、おそらく朝までには終わらないだろう」。
1時間ごとにスキャンをするべきだというパーラー氏の忠告は7つの組織の規定に従うものだが、パーラー氏によれば、その他の700〜800の組織は彼の忠告を馬鹿げていると退けたそうだ。
しかし、彼の言うスキャンとは、一般に考えられているような集中的なネットワークスキャンではない。その代わりにパーラー氏が推奨しているのは、軽量スキャナと呼ばれる新興のセキュリティツールである。このツールを利用すると、ネットワーク上のすべてのマシンが何らかの方法で通信を行うようになる。
「この通信をすべてキャプチャすれば、すべてのマシンを把握することができる。これは何かを探すときに便利な方法で、アクティブスキャニングよりもはるかに優れている」とパーラー氏は述べている。
iDefenseの不正コード担当責任者であるケン・ダンハム(Ken Dunham)氏の意見では、アプリケーションへの攻撃の増加よりもっと重要なのは、企業と顧客との関係における脆弱性の問題が増えてきたことである。顧客は、ウイルス、ワーム、フィッシング、スパム、スパイウェアといったインターネットの脅威の被害者にも運び手にもなりうるのだ。
「ターゲットは企業から消費者へ移りつつある。消費者はこのチェーンの『最弱の環』だからだ」とダンハム氏は語っている。
ダンハム氏は例として、最近のDNSキャッシュの弱点を挙げた。攻撃者はこの弱点を悪用して正規サイトのユーザをリダイレクトすることができたが、乗っ取られた企業のほうはその状況に何も対処できなかった。
「何もできないのは当然だ。彼らはそのサーバを管理していないのだから」とダンハム氏は指摘した。
ダンハム氏は、SANSの脆弱性リストやCERTの同様の活動を、攻撃への対策の必要性を知らしめるものとして高く評価している。さらに、組織のネットワークやサーバの監視/保護に役立つツールも数多くあるが、それと同じくらい、適切な人材を配置して適切なトレーニングを積ませることも重要であると述べている。
「ビジネス界には大規模で多様なコンポーネントが数多くある。20万人以上の従業員を抱える企業ならば、そのIT環境を保護するのは非常に難しい課題である。ビジネスニーズは千差万別で、それぞれのニーズに対処しなければならない。さまざまな技術を実装する企業もあれば、さまざまな人を雇用する企業もある。最もきちんと管理されたネットワークとは、リスク管理ができているネットワークのことだ。つまり、攻撃されたときに何をすべきかを知っていることが大切である」。
Copyright © 2010 OSDN Corporation, All Rights Reserved.