Tenableは、時価総額の上位25に入る国内企業(Companies Market Capによる)を対象とした、インターネットに接続されている資産のセキュリティについての調査結果を発表した。同社は調査結果を踏まえ、古いバージョンのソフトウェア、安全性の低い暗号化、設定ミスなど、国内大手企業のサイバー衛生管理状態の不備を指摘した。
調査対象となった各社では、平均4,800件以上のインターネットと接続のある資産を所有。全社合計では約12万件を超える資産が悪用リスクにさらされていることが判明したという。
Tenable Network Security Japanのカントリーマネージャーを務める貴島直也氏は、「クラウド移行を推進している日本では、インターネットに接続された資産が増加しつつあります。ネットに接続されている資産には、資産自体の重要性とは関係なく、どれも組織内部への侵入口となりうる潜在性を有しています。攻撃者は、攻撃の標的となる企業のアタックサーフェスを監視し、特に組織自身が認識していないような資産に目を付けて脆弱性を探しています」と、クラウド移行の背景を捉えて警鐘を鳴らした。
同社によれば、調査対象の企業の全資産のうち、7,000件がいまだにTLS1.0対応であったという。TLS1.0は、2022年9月にMicrosoftが無効にしていることからも、インターネットを利用している企業にとって、旧式のテクノロジーを特定し更新することが難しいことがわかる。
また、調査対象になった企業のすべての資産のうち、4,000件の資産がいまだにLog4Jの脆弱性の影響を受けやすいことが判明。
さらに、認識された資産のうち12,000件以上が、内部使用を用途としているものの知らないうちに露呈され、外部からのアクセスが可能な状態にあった。
他にも、企業のデジタルインフラにある総資産のうち6,000以上のAPIが特定されたという。APIは、不充分な認証、不充分なインプット検証、不充分なアクセスコントロール、API v3実装の依存関係の脆弱性などが重なり、脆弱なアタックサーフェスを形成していると同社は指摘している。
Tenable チーフサイバーストラテジストのネイサン・ウェンズラー氏は、リスクとなりうる資産の実態を事前に把握する重要性について次のように語っている。
「セキュリティで見落とされやすく最も一般的で危険をはらんでいる問題は、クラウドなどの公開されているリソースに存在する、不慮の設定ミスです。こういった『知られざる未知のもの』があるので、どの企業もどの政府機関にとっても、以前知られていなかった攻撃経路やその他の脆弱性の要素を発見して修正できるようにすることが最重要課題となります。攻撃が起きたあとの事後処理に留まらず、先行的に攻撃を防止すれば、デジタルインフラの効果的なセーフガードが確立できます」
【関連記事】
・アシスト、資産情報やリスクを可視化する「Tenable.asm」を提供開始
・Tenable、2023年のサイバーセキュリティ状況の予測を発表
・SOMPOホールディングスが「Tenable」導入 IT資産の可視化で脆弱性を検出
