企業が把握できていないWebサイトは約5割、脆弱性の温床になる恐れ

NRIセキュアテクノロジーズの報告書によれば、企業が存在を把握していないWebサイトが多数存在し、早急な棚卸しが必要だという。

[ITmedia]

　NRIセキュアテクノロジーズは8月20日、セキュリティ脅威の動向を取りまとめた最新版報告書を公開した。Webサイト管理実態やサポート切れソフトの利用状況に警鐘を鳴らしている。

　報告書は、同社が顧客企業に提供した情報セキュリティ対策サービスを通じて得られたデータを分析したもの。2005年度から毎年公開している。

　それによると、まず企業が管理すべきWebサイトの棚卸しを実施した結果から、企業で一元的に存在を把握しているWebサイトは48％にとどまり、52％は新たに見つかったものだった。存在を把握できていないWebサイトでは危険度が高い脆弱性が公表された際に、サイバー攻撃の被害に遭う可能性が高く、管理対象を洗い出す作業が真っ先に必要だと同社は指摘する。

Webサイトの把握状況に関する棚卸結果（n=5338サイト）、出典：NRIセキュアテクノロジーズ

　対策では各サイトで脆弱性のあるソフトウェア製品の利用状況やインターネットでの公開状況など、ネットワークの構成情報も考慮に入れた調査が必要となるが、企業規模が複雑になるほど実践が難しくなる。「クラウドサービスの台頭や企業の再編や海外進出などを背景として、Webサイトにおけるインベントリ管理の仕組みを見直す必要性が高まっている」という。

　また、サポートの終了したバージョンのソフトウェアを利用している割合も高いことが分かった。PHPでは56％、Apacheでは24％の企業がサポートの切れたバージョンのソフトウェアを利用しており、この2つのソフトウェアは脆弱性公表日から攻撃を観測するまでの期間が短期化しているのが特徴だという。サポートのあるバージョンへの移行といった対策ではアプリケーションの改修などの時間を要するため、同社ではWebアプリケーションファイアウォールの活用などを推奨している。

ソフトウェア製品のサポート切れ状況、出典：NRIセキュアテクノロジーズ

　この他に、報告書では企業や組織で情報セキュリティインシデント対策などにあたる「CSIRT」についても解説。サイバー攻撃の増加などを背景にCSIRTの重要性が高まりつつある。

CSIRTを構築・運営ではセキュリティ基盤の設計や構築といったシステム面と、高度な専門性を持つ人員の確保などの人材面が必要であり、2つの要素を適切に融合できないと、高度化・多様化するサイバー攻撃などに迅速かつ正確に対応していくことは難しいと指摘する。CSIRTには持続的な活動が求められ、「継続的な運用訓練や教育を通じて、日々進化する攻撃への対応力を維持し続けることが、最も難しくかつ重要なポイント」だという。