SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

EnterpriseZine Day 2022

2022年6月28日(火)13:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZineニュース

HPセキュリティ調査:被害のTOP10が既知の攻撃、モバイル、IoTの脆弱性も深刻

 HPは、セキュリティ問題に関して詳細な脅威調査をおこない、2015年版のサイバーリスクレポートを発表した。本レポートの日本語版は4月上旬より提供開始だが、それに先だち報道向けの内容公開が、米ヒューレット・パッカードカンパニーのシニアバイスプレジデントのアート・ギリランド氏によっておこなわれた。

 今年のレポートでは、既知の問題と設定ミスが2014年に最大の脅威を引き起こしていたことが明らかになった。HPエンタープライズ・セキュリティ・プロダクツのシニアバイスプレジデント兼ゼネラルマネージャ、アート・ギリランド(Art Gilliland)は次のように述べている。

 「2014年に悪用された10大脆弱性はすべて既知のもの。数年前から数十年前に書かれたプログラムを利用したものだった」(アート・ギリランド氏)

古い脆弱性が今なお強力

 では、こうした既知の脆弱性が今だに解決されないのはなぜか。これに対してギリランド氏は、既知の脆弱に対応するためのパッチが企業システムに適用されていないことがあるという。パッチが適用されない原因に対しては、企業のITシステムの構成が複雑化・高度化していることがあげられる。

 インフラが多様化している現在、パッチ適用は、時にはシステムに支障をもたらすこともあり、システムの全範囲まで適用できないのだという。 また、もうひとつの問題はサーバーの設定ミスや、バグ、ロジックの不具合などだ。デベロッパーのスキルの不足も重要な要因だという。

 「企業システムの全範囲に脆弱性対策を適用し攻撃をブロックするのは、ほぼ非現実的。対応としては、侵入された後に、経路を把握し、内部のデータをどう保持するかなど、改善と自己後のデータ保全にコストやリソースをシフトさせる必要がある」(アート・ギリランド氏)

 また、調査結果で顕著なのは、モバイルやIoTによる脆弱性の増大だ。ビデオカメラや動作感知装置などのホームセキュリティシステムの分野では、ほとんどすべてに、パスワード・セキュリティ、暗号化・認証などに関する問題が発見されたという。特に顕著なのが、パスワードポリシーの弱さである。一定回のアクセスに失敗すると企業システムでは、そのアカウントをロックアウトすることが一般的だが、IoTやモバイルでは、ほとんどおこなわれていない。メーカーの側も、消費者の側も、セキュリティより利便性を優先させるが、セキュリティへの対策意識は遅れていると指摘した。

 「消費者も、自分を守るために、モバイルや家電のセキュリティにお金を払うという意識が、これからのIoT時代には必要だ」(アート・ギリランド氏)

 今後の解決策としては、攻撃パターンや、攻撃者の情報、IPアドレスや対応方法などの経験を、企業が公開することが重要という。「コミュニティによる情報共有でさらに積極的に推進することが重要」だとギリランド氏は語った。

◎「2015年版サイバーリスクレポート」(日本語版)のダウンロードは、こちらのURLから、4月上旬よりダウンロード開始予定している。 

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
この記事の著者

EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/news/detail/6698 2015/03/27 16:30

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年6月28日(火)13:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング