脆弱性は今やオペレーティングシステムや企業だけの話ではない:Magi's View(1/2 ページ)
現在ではMicrosoftのWindowsオペレーティングシステム以外にも攻撃対象が広がっている。しかし、より重要なのは、企業と顧客との関係における脆弱性の問題が増えてきたことである。地震のようなものとのんきに構えている場合ではない。
SANS Instituteの最新のセキュリティ脆弱性リストに関してはいろいろなことが言われているが、はっきりしているのは、現在ではMicrosoftのWindowsオペレーティングシステム以外にも攻撃対象が広がっているということだ。
他のプラットフォーム、特にAppleやLinuxへの攻撃が増加しているという事実を重要視する人もいるが、SANS Instituteの研究責任者であるアラン・パーラー(Alan Paller)氏は、最近のセキュリティホールの全体的な動向に見られる最大の変化は、攻撃対象がオペレーティングシステムからアプリケーションに移っていることだと述べている。
パーラー氏はITMJのインタビューにこう答えている。「これまでは、攻撃されるシステム、つまりハッカーの標的になるシステムはほとんどがオペレーティングシステムであり、これが長年問題になっていた。しかし今では、アプリケーションに対する攻撃が増加しており、報告される弱点の3分の1を占めるほどになっている。これは明らかな傾向であり、我々の側にも、今までとは異なる対応が必要になってくる」。
軽量スキャンの利用
企業のITマネージャーは、アップデートやパッチの適用が遅れたり、ソフトウェアが適切に登録されていなかったりすると、どこが弱点なのかわからない状況に追い込まれてしまう、とパーラー氏は指摘している。
「ビジネスの世界では、弱点の有無を調査する必要があるし、弱点があるかどうかを知るための手法を確実に持っていなければならない」と彼は述べている。
今日では、ソフトウェアやアンチウイルスファイルのアップデートを毎週あるいは毎日行う必要があるが、パーラー氏によれば、もっと頻繁に、毎時間くらいのペースでしなければならないのは、ネットワーク上に新しいマシンや装置が追加されているかどうかのチェックである。これはトラブルの前兆だ。
「これは非常に大きな落とし穴で、たくさんの人がこの落とし穴にはまっている」。新しい、まだセキュリティ対策が施されていないマシンを一晩中ネットワークにつないでおいたり、その後ずっとそのままにしたりするケースも少なくない、とパーラー氏は指摘する。「脆弱なシステムを見つけるための自動スキャンプログラムが15〜1万2000個もあれば、おそらく朝までには終わらないだろう」。
1時間ごとにスキャンをするべきだというパーラー氏の忠告は7つの組織の規定に従うものだが、パーラー氏によれば、その他の700〜800の組織は彼の忠告を馬鹿げていると退けたそうだ。
しかし、彼の言うスキャンとは、一般に考えられているような集中的なネットワークスキャンではない。その代わりにパーラー氏が推奨しているのは、軽量スキャナと呼ばれる新興のセキュリティツールである。このツールを利用すると、ネットワーク上のすべてのマシンが何らかの方法で通信を行うようになる。
「この通信をすべてキャプチャすれば、すべてのマシンを把握することができる。これは何かを探すときに便利な方法で、アクティブスキャニングよりもはるかに優れている」とパーラー氏は述べている。
消費者と脆弱性の関係
iDefenseの不正コード担当責任者であるケン・ダンハム(Ken Dunham)氏の意見では、アプリケーションへの攻撃の増加よりもっと重要なのは、企業と顧客との関係における脆弱性の問題が増えてきたことである。顧客は、ウイルス、ワーム、フィッシング、スパム、スパイウェアといったインターネットの脅威の被害者にも運び手にもなりうるのだ。
「ターゲットは企業から消費者へ移りつつある。消費者はこのチェーンの『最弱の環』だからだ」とダンハム氏は語っている。
ダンハム氏は例として、最近のDNSキャッシュの弱点を挙げた。攻撃者はこの弱点を悪用して正規サイトのユーザをリダイレクトすることができたが、乗っ取られた企業のほうはその状況に何も対処できなかった。
「何もできないのは当然だ。彼らはそのサーバを管理していないのだから」とダンハム氏は指摘した。
ダンハム氏は、SANSの脆弱性リストやCERTの同様の活動を、攻撃への対策の必要性を知らしめるものとして高く評価している。さらに、組織のネットワークやサーバの監視/保護に役立つツールも数多くあるが、それと同じくらい、適切な人材を配置して適切なトレーニングを積ませることも重要であると述べている。
「ビジネス界には大規模で多様なコンポーネントが数多くある。20万人以上の従業員を抱える企業ならば、そのIT環境を保護するのは非常に難しい課題である。ビジネスニーズは千差万別で、それぞれのニーズに対処しなければならない。さまざまな技術を実装する企業もあれば、さまざまな人を雇用する企業もある。最もきちんと管理されたネットワークとは、リスク管理ができているネットワークのことだ。つまり、攻撃されたときに何をすべきかを知っていることが大切である」。
Copyright © 2010 OSDN Corporation, All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- Appleの生成AI「MM1」は何ができるの? 他のLLMを凌駕する性能とは
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- 爆売れだった「ノートPC」が早くも旧世代の現実
ITmediaはアイティメディア株式会社の登録商標です。