ITセキュリティの基本はやはり脆弱性対策――HP担当者:Maker's Voice
米HPが2011年のセキュリティリスク報告書を発表した。「脆弱性対策が肝心」と話す同社のセキュリティ製品担当者にセキュリティの動向や対策ポイントを聞く。
米Hewlett-Packard(HP)は、このほど2011年のITセキュリティ動向を分析した報告書「2011 Cyber Security Risks Report」を発刊した。報告書から読み取れるセキュリティの動向や対策ポイントについてセキュリティ製品を担当するディレクターのナラヤン・マカラム氏、シニアプロダクトラインマネジャー、オリオン・スイダム氏に聞いた。
まず全体傾向についてスイダム氏は、「新たな脆弱性の発見は2006年以降減少傾向にあるが、脅威が減っているわけではない。一方でWebアプリケーションの脆弱性や攻撃が増えている」と説明する。
報告書から同氏は以下の点を特徴として挙げる。
- 新に発見された脆弱性は2010年より20%減少。攻撃者は未知の脆弱性よりも、既知の脆弱性を攻撃に使う方が効率的だと判断しているもよう
- 脆弱性の深刻さを測る共通指標のCVSS(Common Vulnerability Scoring System)では危険度の高い「8〜10」に分類される脆弱性が2006年の7%から2011年は24%に増加した
- Webアプリケーションの脆弱性が全体の36%を占めて新たなリスクの“温床”に。カスタムアプリやWebブラウザのアドオンの危険度が高まる
- サイバー攻撃は2010年の約4億件強から2011年は5億件強に増加。Webアプリケーションを狙うも5000万件弱から7000万件強に増え、特にSQLインジェクション攻撃が約1500万件から約5000万件に急増した
「2011年は大規模攻撃でWebブラウザ関連の脆弱性をする悪用ケースが目立ち、対応が急がれる。数年前はInternet Explorer 6が狙われたが、今では新しいWebブラウザも頻繁に狙われている」(スイダム氏)
こうした傾向は、HPが買収したTippingPointやFortify、DVLabs、ArcSightなどのセキュリティ技術や製品・サービスから得た情報を総合的に分析したことで浮かび上がったものだという。
セキュリティ分野に進出する理由
HPが買収した各社は、ネットワークセキュリティや脆弱性の解析・対策、運用管理など個々の分野で定評があった企業ばかり。買収戦略が開始された当初はHPのセキュリティビジネスがどのようなものになるか不透明さがあったが、その具体像は今年初めに明らかにされた。マカラム氏は「ビジネス視点からセキュリティリスクに対処し、顧客の資産を保護する」と話す。
具体的には以下の4つのアプローチでこれを実現するという。
- TippingPointのIPSなどによって、システムに対する外部からの攻撃を検知・遮断する
- Fortifyでのアプリケーション解析によりシステムの弱点を可視化し解決を図る
- DVLabsで最新のセキュリティ脅威動向などを収集・分析し、フィードバックする
- ArcSightでシステム全体のリスクの発見・分析・可視化し、迅速に対応する
「パッチ適用によるシステム稼働への影響や適用の“漏れ”が必ずあることなど、脆弱性対策がいかに難しいものであるかを十分に理解している。だが脆弱性対策はやはりセキュリティの基本であり、企業がこれを適切に運用できるようにすることが重要だ」(マカラム氏)
HPは同社の成長領域としてクラウド、ビッグデータ、セキュリティの3分野を挙げる。マカラム氏はセキュリティ分野で同社がTop 5ベンダー入りを目指していると話し、「クラウドを含むITインフラを広くカバーしたHPならでは強みを発揮したい」と語る。
関連記事
- 日本HPが4つのセキュリティ新製品――運用支援、クラウド、モバイル向けに
ネットワーク経由の攻撃やシステムの脆弱性などの検査と可視化を可能にするという。 - 日本HP、11月からセキュリティ事業を本格展開へ
買収したTippingPointやArcSight、Fortifyなどのセキュリティ事業を統合した、包括的なITセキュリティの製品・サービスを展開する。 - IEとFirefoxもセキュリティ破りに成功、ハッキングコンペPwn2Own
Webブラウザのハッキングコンペ「Pwn2Own」で、Google Chromeに続いてIEとFirefoxがいずれも未解決の脆弱性を使ってセキュリティを破られた。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.