SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Security Online Day 2024 春の陣

2024年3月13日(水)10:00~17:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZineニュース

Tenable、国内企業のインターネット上の資産管理リスク指摘──時価総額上位25社を対象に調査

 Tenableは、時価総額の上位25に入る国内企業(Companies Market Capによる)を対象とした、インターネットに接続されている資産のセキュリティについての調査結果を発表した。同社は調査結果を踏まえ、古いバージョンのソフトウェア、安全性の低い暗号化、設定ミスなど、国内大手企業のサイバー衛生管理状態の不備を指摘した。

 調査対象となった各社では、平均4,800件以上のインターネットと接続のある資産を所有。全社合計では約12万件を超える資産が悪用リスクにさらされていることが判明したという。

 Tenable Network Security Japanのカントリーマネージャーを務める貴島直也氏は、「クラウド移行を推進している日本では、インターネットに接続された資産が増加しつつあります。ネットに接続されている資産には、資産自体の重要性とは関係なく、どれも組織内部への侵入口となりうる潜在性を有しています。攻撃者は、攻撃の標的となる企業のアタックサーフェスを監視し、特に組織自身が認識していないような資産に目を付けて脆弱性を探しています」と、クラウド移行の背景を捉えて警鐘を鳴らした。

 同社によれば、調査対象の企業の全資産のうち、7,000件がいまだにTLS1.0対応であったという。TLS1.0は、2022年9月にMicrosoftが無効にしていることからも、インターネットを利用している企業にとって、旧式のテクノロジーを特定し更新することが難しいことがわかる。

 また、調査対象になった企業のすべての資産のうち、4,000件の資産がいまだにLog4Jの脆弱性の影響を受けやすいことが判明。

 さらに、認識された資産のうち12,000件以上が、内部使用を用途としているものの知らないうちに露呈され、外部からのアクセスが可能な状態にあった。

 他にも、企業のデジタルインフラにある総資産のうち6,000以上のAPIが特定されたという。APIは、不充分な認証、不充分なインプット検証、不充分なアクセスコントロール、API v3実装の依存関係の脆弱性などが重なり、脆弱なアタックサーフェスを形成していると同社は指摘している。

 Tenable チーフサイバーストラテジストのネイサン・ウェンズラー氏は、リスクとなりうる資産の実態を事前に把握する重要性について次のように語っている。

 「セキュリティで見落とされやすく最も一般的で危険をはらんでいる問題は、クラウドなどの公開されているリソースに存在する、不慮の設定ミスです。こういった『知られざる未知のもの』があるので、どの企業もどの政府機関にとっても、以前知られていなかった攻撃経路やその他の脆弱性の要素を発見して修正できるようにすることが最重要課題となります。攻撃が起きたあとの事後処理に留まらず、先行的に攻撃を防止すれば、デジタルインフラの効果的なセーフガードが確立できます」

【関連記事】
アシスト、資産情報やリスクを可視化する「Tenable.asm」を提供開始
Tenable、2023年のサイバーセキュリティ状況の予測を発表
SOMPOホールディングスが「Tenable」導入 IT資産の可視化で脆弱性を検出

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
関連リンク
この記事の著者

EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/news/detail/18091 2023/07/18 18:10

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2024年3月13日(水)10:00~17:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング