発表では、今回のレポートで注目される点は次の3つだとしている。
セキュリティ対策が十分でないIoT機器への攻撃が大幅に増加
NRIセキュアが提供するマネージドセキュリティサービスにおいて、2016年度中にファイアウォールでブロックした通信(全標本数22.6億件)のうち、48.1%(10.9億件)が遠隔操作に用いられるtelnetポートへの通信だった。2015年度の1.7億件に比べると、約6.4倍に増加した。
現在、多くの企業では、外部からtelnetポートへの通信を許可しないことが一般的だ。それにも関わらず、上記の通信が急増した背景として、アクセス制限が行われていないWebカメラやルーターなどのIoT機器を探索し、侵入しようとする通信が増えたことが大きな要因と考えられる。気軽に使えるようになったこれらの機器が脆弱な状態にあると、DDoS攻撃の踏み台となるなど、悪用される可能性がある。
IoT機器の利用者は、使用前にアクセス制限や機器そのものの設定などを適切に行うことが推奨される。また機器メーカーは、標準仕様で必要なセキュリティ機能を持たせることや、販売後においても脆弱性が発覚した時には、速やかに対応できる体制を整えることが必須になっていくと考えられる。
HTTPS通信(暗号化通信)への移行が加速する一方、新たな問題が浮上
「FNCセキュアインターネット接続サービス」において、Webアクセスに関するログ(調査対象企業数20社)を集計したところ、HTTPS通信の割合が2016年4月の19%程度から、2017年3月には40%にまで増えたことがわかった。
従来HTTPSは、Webサイト内にあるログイン画面や個人情報など、機密性の高い情報を扱うページの暗号化のために利用されてきた。ところが昨今、大手インターネットサービス会社の全ページがHTTPSに移行されるなど、重要情報の有無に関わらず、サイト全体を暗号化する企業が増えている。
HTTPSが広く使われるようになったことにより、セキュリティ強化が期待される一方、暗号化された通信は通信経路上で内容の検査ができず、従来行われてきた通信経路上のセキュリティ対策ができなくなる問題が浮上している。また、多くのクラウドサービスがHTTPS通信で暗号化されているために、サービスを利用する企業では、従業員の利用状況の可視化や統制がしづらくなるという問題も出てきている。HTTPS化の流れが進む中、企業はこの問題を認識し、HTTPS化に対応したセキュリティ対策の実施が求められる。
企業Webサイトのうち、4割が容易に攻撃可能な状態
世界中に点在している、顧客企業に関連するWebサイトを探索し、棚卸しするサービス「Webサイト群探索棚卸サービス GR360(ジーアール360)」で、NRIセキュアが2016年度に調査したWebサイト(全標本数4,039サイト)のうち、4割が容易に攻撃される可能性があることがわかった。
古いバージョンのソフトウェアを使用し続けていたり、IDとパスワードの単純な認証だけで保護されているメンテナンス用インターフェースが外部に公開されていたりすると、そのWebサイトでは容易に攻撃が成立する可能性がある。これはマーケティングキャンペーンのサイトや、中小企業のコーポレートサイトに多くみられる。背景にはCMSを利用することで、専門的な知識をそれほど必要とせず、比較的容易にWebサイトを構築できる反面、セキュリティの堅牢化に関するノウハウが十分に提供されていないことが挙げられる。
企業全体のWebサイトのセキュリティ水準を維持するためには、まず、自社のWebサイトの存在をセキュリティの管轄部門が把握することが重要になる。その上で、一元的な管理を行い、サイトの安全性が一定の水準を満たしているか検証することが望ましいと言える。
