NRIセキュア「サイバーセキュリティ:傾向分析レポート」を発表4割以上のシステムはファイアウォールの内側に侵入されると無防備

» 2011年07月01日 00時00分 公開
[内野宏信,@IT]

 NRIセキュアテクノロジーズは6月28日、企業情報システムのセキュリティに関する分析結果をまとめた「サイバーセキュリティ:傾向分析レポート 2011」を発表した。企業の情報システムの44%がファイアウォールの内側に侵入された場合の攻撃に対して無防備であることや、同社が提供している「Webアプリケーション診断」を初めて受診する企業のWebサイトの40%が、外部からの攻撃によって情報漏えいなどを起こし得る危険な状態にあることが分かったという。

 調査はNRIセキュアテクノロジーズが2010年度(2010年4月1日〜2011年3月31日)に顧客企業に提供した情報セキュリティ関連サービスから得られたデータを分析したもの。そのうち、ネットワークの外側(インターネット)、あるいは内側(LAN)から、さまざまな項目について診断を行う「プラットフォーム診断」のデータを分析したところ、インターネットからの脅威に対し、ファイアウォールに大きく依存した対策を行っているシステムが多いことが分かったという。そのうちサーバ単体で見ると、44%のシステム(n=25)で即座に攻撃可能な問題が存在していることが分かった。

 同社では「ビジネスの安全性を脅かす要因への対策が取られているか」という視点からWebアプリケーションの実装方式、開発言語、利用プラットフォームなどについてあらゆる項目で診断を行う「Webアプリケーション診断」も行っている。このWebアプリケーション診断の「受診経験がある企業」が運営するWebサイトでは、リスクに対して危険な状態にあるサイトは29%(n=184)にとどまったのに対し、「受診経験がない企業」が運営するWebサイトでは、40%(n=45)に重大な問題が存在することが分かった。

 また、国内の主要サイトでもマルウェアの検出を確認。たとえ自社のWebサイトのセキュリティ対策自体が完全だとしても、「サイトの利用ユーザーに被害を及ぼしてしまう可能性がある」ということを認識しておくべきだという。

写真 「マルウェアを検出したURLのドメインの割合」。jpドメインの中には国内の上場企業が保有するドメインも散見されたという

 同社では、「セキュリティ診断」サービスで問題が発見された情報システムに対し、早急に診断結果とともに具体的な対策案を提示しているが、「悪質化するサイバー攻撃から企業システムを守るためには、インターネット境界部分やPC端末でのシステム的な対策の徹底はもちろん、従業員の意識を変えるための訓練や演習を含めた、総合的なセキュリティ対策が必要だ」とコメントしている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ