ITセキュリティの基本はやはり脆弱性対策――HP担当者Maker's Voice

米HPが2011年のセキュリティリスク報告書を発表した。「脆弱性対策が肝心」と話す同社のセキュリティ製品担当者にセキュリティの動向や対策ポイントを聞く。

» 2012年05月31日 08時00分 公開
[國谷武史,ITmedia]

 米Hewlett-Packard(HP)は、このほど2011年のITセキュリティ動向を分析した報告書「2011 Cyber Security Risks Report」を発刊した。報告書から読み取れるセキュリティの動向や対策ポイントについてセキュリティ製品を担当するディレクターのナラヤン・マカラム氏、シニアプロダクトラインマネジャー、オリオン・スイダム氏に聞いた。

 まず全体傾向についてスイダム氏は、「新たな脆弱性の発見は2006年以降減少傾向にあるが、脅威が減っているわけではない。一方でWebアプリケーションの脆弱性や攻撃が増えている」と説明する。

 報告書から同氏は以下の点を特徴として挙げる。

  • 新に発見された脆弱性は2010年より20%減少。攻撃者は未知の脆弱性よりも、既知の脆弱性を攻撃に使う方が効率的だと判断しているもよう
  • 脆弱性の深刻さを測る共通指標のCVSS(Common Vulnerability Scoring System)では危険度の高い「8〜10」に分類される脆弱性が2006年の7%から2011年は24%に増加した
  • Webアプリケーションの脆弱性が全体の36%を占めて新たなリスクの“温床”に。カスタムアプリやWebブラウザのアドオンの危険度が高まる
  • サイバー攻撃は2010年の約4億件強から2011年は5億件強に増加。Webアプリケーションを狙うも5000万件弱から7000万件強に増え、特にSQLインジェクション攻撃が約1500万件から約5000万件に急増した

 「2011年は大規模攻撃でWebブラウザ関連の脆弱性をする悪用ケースが目立ち、対応が急がれる。数年前はInternet Explorer 6が狙われたが、今では新しいWebブラウザも頻繁に狙われている」(スイダム氏)

 こうした傾向は、HPが買収したTippingPointやFortify、DVLabs、ArcSightなどのセキュリティ技術や製品・サービスから得た情報を総合的に分析したことで浮かび上がったものだという。

セキュリティ分野に進出する理由

 HPが買収した各社は、ネットワークセキュリティや脆弱性の解析・対策、運用管理など個々の分野で定評があった企業ばかり。買収戦略が開始された当初はHPのセキュリティビジネスがどのようなものになるか不透明さがあったが、その具体像は今年初めに明らかにされた。マカラム氏は「ビジネス視点からセキュリティリスクに対処し、顧客の資産を保護する」と話す。

 具体的には以下の4つのアプローチでこれを実現するという。

  • TippingPointのIPSなどによって、システムに対する外部からの攻撃を検知・遮断する
  • Fortifyでのアプリケーション解析によりシステムの弱点を可視化し解決を図る
  • DVLabsで最新のセキュリティ脅威動向などを収集・分析し、フィードバックする
  • ArcSightでシステム全体のリスクの発見・分析・可視化し、迅速に対応する

 「パッチ適用によるシステム稼働への影響や適用の“漏れ”が必ずあることなど、脆弱性対策がいかに難しいものであるかを十分に理解している。だが脆弱性対策はやはりセキュリティの基本であり、企業がこれを適切に運用できるようにすることが重要だ」(マカラム氏)

 HPは同社の成長領域としてクラウド、ビッグデータ、セキュリティの3分野を挙げる。マカラム氏はセキュリティ分野で同社がTop 5ベンダー入りを目指していると話し、「クラウドを含むITインフラを広くカバーしたHPならでは強みを発揮したい」と語る。

エンタープライズセキュリティプロダクト シニアプロダクトラインマネジャーのオリオン・スイダム氏(左)と、ソリューションマーケティング ディレクターのナラヤン・マカラム氏

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ