NRIセキュアテクノロジーズ、「サイバーセキュリティ 傾向分析レポート2014」公開で3つの問題点が判明
NRIセキュアテクノロジーズは、最新のセキュリティ脅威の動向をまとめた「サイバーセキュリティ 傾向分析レポート2014」を公開した。今回の分析で、3つの問題点が明らかになった。
一つ目は企業が一元的に存在を把握しているWebサイトが48%で、5割を切っている。これは危険度の高い脆弱性が公表された際に、サイトが脆弱性を含むソフトウェア製品を利用しているか、インターネットに公開されているか等を調査する必要があるが、一元的に把握されていない場合には脆弱性が放置されたまま公開されている可能性がある。
二つ目はサポート切れソフトウェア製品の対応で、ソフトウェア製品に脆弱性が含まれる場合には攻撃を防ぐためにセキュリティパッチを適用することが大事であるが、サポート切れでセキュリティパッチを適用できない状態のまま稼働しているものがある。セキュリティパッチ入手のためにはソフトウェアをバージョンアップしてサポートを受ける必要があるが、Webアプリの回収が必要な場合改修に一定期間を要するために短時間で対策を行うのが困難な状態になる。
三つ目は情報セキュリティ対策チームのCSIRTの運営の人材確保の問題で、セキュリティ対策の一つとしてCSIRTの重要性が認知されてきているが、運営するにあたり提供サービス範囲に応じてセキュリティ基盤の設計や構築などのシステム面と高度な専門性を持った人員確保のための人材面の二つの要素が必要になる。しかしこの両要素が融合できなければ現在の攻撃への迅速で正確な対応は困難になっており、さらにCSIRTは持続的な活動が求められるため継続的な運用訓練や教育により、進化する攻撃への対応力を継続的に維持するのが難しく、かつ重要となっている。
