セキュリティ対策の費用は現状改善に生かすべき――HPが提言

既知の問題を悪用する脅威の方が多い一方、企業ではセキュリティ対策の基本がしっかりと行われていないとHPは指摘する。

[國谷武史，ITmedia]

　日本ヒューレット・パッカードは3月27日、2015年版のサイバーセキュリティ報告書を発表した。報告した米HPではセキュリティ上の新たな問題ばかりにとらわれず、従来の問題を適切に解決していく努力が必要だと提起している。

　報告書でHPが指摘したのは、（1）既知の脆弱性を突く攻撃の多発、（2）システムの設定不備、（3）新技術がもたらすリスクへの理解――の三点。

　2014年における脆弱性攻撃のトップ10は、全体の33％を占める2010年に発覚したWindowsシェルのショートカットファイル処理に起因する脆弱性が最多だった。以下は2009年から2013年にかけて発覚したAdobe Reader/AcrobatやJava、Microsoft Officeの脆弱性がランクインしている。システムの設定不備ではWebサーバやクッキーに関する問題が60％以上見つかった。

悪用された脆弱性のトップ10。第1位は原子力施設の破壊を狙ったという「Stuxnet攻撃」でも悪用された

　脆弱性攻撃の状況から、企業や組織では古い脆弱性をパッチなどで解決する取り組みが十分に行われておらず、サイバー攻撃者が新しい脆弱性よりも古い脆弱性を攻撃に多用しているとみられる。システムの設定不備では例えば、管理者権限のパスワードが初期のままというようなケースが想定される。

システムにみられる問題の上位5つ

　また、Webアプリやモバイルアプリでは脆弱性を突くマルウェアの検出が最も多い。スマートフォン普及などを背景に、企業では社員の業務改善や顧客獲得のマーケティングにモバイルを活用する動きが加速。モバイルで使うアプリケーションの開発に、先に開発したWebアプリケーションのコードを再利用した結果、Webアプリケーションの問題点がモバイルアプリでも見つかるケースが数多くあるという。

　同社エンタープライズ・セキュリティ・プロダクツ シニアバイスプレジデント兼ジェネラルマネージャのアート・ギリランド氏は、「当社では2014年に約400件の新たな脆弱性を確認したが、脅威の多くは古い脆弱性。新しい問題にばかり対応するのではなく、既知の脆弱性を適切に解決しておく仕組みづくりが必要」と指摘する。サーバなどシステムの設定不備は、最も一般的なセキュリティ上の問題になると解説した。

　脆弱性の修正漏れやシステムの設定ミスが生じる背景には、企業や組織のシステム環境が複雑化し、全体の状況を正確に把握することが非常に難しいという実情がある。一部のシステムに適用したパッチが他のシステムの安定稼働に影響を及ぼすリスクがあり、システム管理者が手作業で対応しようにも、人為ミスなど別のリスクも考慮しないといけない。

　ギリランド氏は、企業や組織の安全性を確保するために、まずセキュリティ対策の推奨事項を実践することが必要だと述べ、システム管理ツールの推奨設定を利用するなど、運用面での問題を解決していくべきとアドバイスする。特にモバイルアプリ開発のような新技術に取り組む時が、セキュリティ対策の見直しを図るチャンスにもなり、セキュリティレベルの向上につながると語った。