HPは、セキュリティ問題に関して詳細な脅威調査をおこない、2015年版のサイバーリスクレポートを発表した。本レポートの日本語版は4月上旬より提供開始だが、それに先だち報道向けの内容公開が、米ヒューレット・パッカードカンパニーのシニアバイスプレジデントのアート・ギリランド氏によっておこなわれた。
今年のレポートでは、既知の問題と設定ミスが2014年に最大の脅威を引き起こしていたことが明らかになった。HPエンタープライズ・セキュリティ・プロダクツのシニアバイスプレジデント兼ゼネラルマネージャ、アート・ギリランド(Art Gilliland)は次のように述べている。
「2014年に悪用された10大脆弱性はすべて既知のもの。数年前から数十年前に書かれたプログラムを利用したものだった」(アート・ギリランド氏)
古い脆弱性が今なお強力
では、こうした既知の脆弱性が今だに解決されないのはなぜか。これに対してギリランド氏は、既知の脆弱に対応するためのパッチが企業システムに適用されていないことがあるという。パッチが適用されない原因に対しては、企業のITシステムの構成が複雑化・高度化していることがあげられる。
インフラが多様化している現在、パッチ適用は、時にはシステムに支障をもたらすこともあり、システムの全範囲まで適用できないのだという。 また、もうひとつの問題はサーバーの設定ミスや、バグ、ロジックの不具合などだ。デベロッパーのスキルの不足も重要な要因だという。
「企業システムの全範囲に脆弱性対策を適用し攻撃をブロックするのは、ほぼ非現実的。対応としては、侵入された後に、経路を把握し、内部のデータをどう保持するかなど、改善と自己後のデータ保全にコストやリソースをシフトさせる必要がある」(アート・ギリランド氏)
また、調査結果で顕著なのは、モバイルやIoTによる脆弱性の増大だ。ビデオカメラや動作感知装置などのホームセキュリティシステムの分野では、ほとんどすべてに、パスワード・セキュリティ、暗号化・認証などに関する問題が発見されたという。特に顕著なのが、パスワードポリシーの弱さである。一定回のアクセスに失敗すると企業システムでは、そのアカウントをロックアウトすることが一般的だが、IoTやモバイルでは、ほとんどおこなわれていない。メーカーの側も、消費者の側も、セキュリティより利便性を優先させるが、セキュリティへの対策意識は遅れていると指摘した。
「消費者も、自分を守るために、モバイルや家電のセキュリティにお金を払うという意識が、これからのIoT時代には必要だ」(アート・ギリランド氏)
今後の解決策としては、攻撃パターンや、攻撃者の情報、IPアドレスや対応方法などの経験を、企業が公開することが重要という。「コミュニティによる情報共有でさらに積極的に推進することが重要」だとギリランド氏は語った。
◎「2015年版サイバーリスクレポート」(日本語版)のダウンロードは、こちらのURLから、4月上旬よりダウンロード開始予定している。
