セキュリティ対策を導入したのに、サイバー攻撃の被害が後を絶たないワケ(2/3 ページ)
セキュリティ対策をせっかく導入したのに、なぜかサイバー攻撃の被害に遭ってしまう――。そんな企業が多いことが、ファイア・アイの調査で判明。同社への取材をもとに、その理由を探る。
その場しのぎのツギハギ対策が“穴”になる
また、IT環境の変化に追随できていないことが原因とみられる見逃しもありました。
インフラ構成の変更に伴って予期せぬセキュリティホールが生まれていたのに気付かなかったり、メンテナンスや導入前試験のように、一回限りの特例で変更された設定が放置されていたりする企業もあったそうです。
また、脆弱(ぜいじゃく)性を見つけるたびにシステムを拡張してきた企業では、ネットワークセグメンテーションの設定ミスが生じる例や、同じシステム内部でもセキュリティコントロールや監視の一貫性が保たれず、漏れが出てしまう例もありました。
意外だと感じたのは、ネットワークトラフィックが増大した結果、セキュリティ機器のリソースが不足し、機能が低下していることに気付かず運用している例があったことです。これは、不正なファイル転送や外部へのデータ流出の見逃しの一因となっていました。
アプリケーションの追加・変更やクラウドサービスの活用、さらにテレワークの導入によってセキュリティ機器の負荷は高まる一方ですが、想定以上のトラフィックによって機能不全を起こしていないかを確認する必要がありそうです。
逆に、案の定問題となっているなと感じたのは、SSLインスペクション機能の欠如です。SSL/TLSはWebサイトとユーザーの間の通信を暗号化し、盗聴などの危険から守ってくれますが、企業システムにおける監視という観点からすると悩みの種です。
サイバー攻撃の中には、SSL通信を逆手に取り、自身の不正行為を隠蔽(いんぺい)するために使う手口もありますが、ファイア・アイの検証でも、SSLインスペクション機能がないと、外部への不正な通信を見逃すケースがあることが判明しました。
「企業がこれまで何年にもわたって積み上げてきたセキュリティ対策が、トレンドの変化、つまりクラウドの普及をはじめとするネットワーク環境の変化や、攻撃者の最新の手法に対応できなくなり、的外れなものになっている可能性を考える必要がある」と岩間氏は指摘します。
関連記事
- 偽サイトが大量発生 首相官邸や新聞社も標的に 見破り方と、マネされない方法とは?
首相官邸や新聞社などの公式サイトを模した偽サイトが増加し、IPAや警察が注意を呼びかけている。偽サイトを駆使した詐欺は、活発に活動したり、息を潜めたりという“波”が繰り返されてきたが、最近また盛んになっている。どうすれば見破れるのか。 - SIE、プレイステーションの一般向け脆弱性報酬プログラム開始 PS4の危険度最高なら5万ドルから
ソニー・インタラクティブエンタテインメント(SIE)が、誰でも参加可能な脆弱性報酬プログラム「PlayStation Bug Bounty」を開始した。PS4関連の危険度最高の脆弱性を報告した場合、報奨金は5万ドル(約535万円)からとなっている。 - GitLab、セキュリティ演習で社員にフィッシングメール送信 10人が引っ掛かる
ソースコード管理ツールを提供する米GitLabが、社内のセキュリティ対策演習として社員にフィッシングメールを送信。内容は「あなたのノートPCをMacBook Proにアップグレードすることになりました」。10人が引っ掛かり、ログインページでIDとパスワードを入力した。 - コインチェック標的の攻撃、お名前.comの通信を改ざんする不具合を悪用 運営元のGMOが説明
コインチェックがお名前.com経由で受けたサイバー攻撃を巡り、GMOインターネットが攻撃の概要を発表した。同社サービスの通信が改ざんできる不具合を悪用されたとしている。
Copyright © ITmedia, Inc. All Rights Reserved.