Bizコンパス

IPA情報セキュリティ10大脅威から読み解く、脆弱性対策とは
2018.04.18

短期化する脆弱性の被害を防ぐには?

IPA情報セキュリティ10大脅威から読み解く、脆弱性対策とは

著者 Bizコンパス編集部

 サーバーへの不正侵入やマルウェアの拡散といったサイバー攻撃で、攻撃者に狙われているのはOSやミドルウェア、アプリケーションに潜む「脆弱性」です。そのため、脆弱性が発見されたときには、すばやくパッチを適用するなどの対処が必要となります。しかし、実際には多くの企業が脆弱性を突いたサイバー攻撃で被害を受けています。

 脆弱性による被害を防ぐための「構成管理」「脆弱性管理」という管理手法について、NTTコミュニケーションズのセキュリティ・エバンジェリストである竹内 文孝氏に話を聞きました。

動画再生
動画コンテンツA

短期化する脆弱性を狙ったサイバー攻撃の脅威

 情報処理推進機構(IPA)は「情報セキュリティ10大脅威 2018」を発表し、ランキング形式で今年注意すべきセキュリティ上の脅威を明かしました。

 ランキングは個人と組織の2つのカテゴリに分かれており、組織のランキングで注目されているのが、前年ランク外から4位にジャンプアップした「脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加」です。

 OSやアプリケーション、ミドルウェアなどに脆弱性が発見されたとき、通常はセキュリティ機関や開発元のベンダーなどがその情報を公開し、脆弱性を解消するためのパッチが提供されます。しかし場合によっては、パッチの開発に時間がかかったり、ユーザー都合で即座に適用できない(しない)といったケースもあります。このように、脆弱性情報の公開からパッチ適用までの間隙を縫って行われる攻撃が大きな脅威となっているわけです。

 NTTコミュニケーションズのセキュリティ・エバンジェリストである竹内 文孝氏は、脆弱性情報が公表されてから、それを利用した攻撃を行うためのコード(攻撃コード)が出現するまでの時間が年々短縮されていると指摘します。

「例えば2000年に大きな騒ぎを起こしたワームの一種『NIMDA』が利用した脆弱性は300日以上前、2002年に大流行した同じくワームの『Slammer』も半年以上前の脆弱性を利用していました。しかし2013年に発見されたソフトウェアフレームワーク『Apache Struts2』の脆弱性では、翌日には攻撃コードが出回っています」

 一方、昨年大きな話題となったランサムウェアの「WannaCry」は、数カ月前に発覚した脆弱性を利用していました。この背景には、脆弱性を解消する修正プログラムやパッチが提供されても、それを適用せずに運用するユーザーが多いことを表しています。

「脆弱性の公開から即座に攻撃されることがある一方、修正プログラムを適用していないシステムを狙った攻撃も発生しています。こうした背景から、IPAのランキングにおいて脆弱性の悪用がランクインしたのではないかと思います」(竹内氏)

SHARE

関連記事

人材不足、経営者意識改革…セキュリティの課題解決

2016.12.14

解決策がここにある!IT部門のお悩みスペシャル第2回

人材不足、経営者意識改革…セキュリティの課題解決

セキュリティ対策「まず何をすべきか」の最適解!

2016.11.09

サイバー攻撃から企業を守るために今何をすべきか前編

セキュリティ対策「まず何をすべきか」の最適解!

標的型攻撃頻発!セキュリティ対策は経営者の責務

2016.07.01

東大准教授・満永氏が語る!

標的型攻撃頻発!セキュリティ対策は経営者の責務

わずか5時間で攻撃を完遂!?その手口と対策とは

2016.06.08

もはや逃れられない!?セキュリティトラブル

わずか5時間で攻撃を完遂!?その手口と対策とは

セキュリティの専門家が語る「2020の脅威」その傾向と対策

2020.02.14

セキュリティ対策に求められる新たな視点第12回

セキュリティの専門家が語る「2020の脅威」その傾向と対策

「DXレポート」作成者が教える「2025年の崖」を乗り越えるポイント

2020.01.29

デジタルトランスフォーメーションの実現へ向けて第28回

「DXレポート」作成者が教える「2025年の崖」を乗り越えるポイント

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

2020.01.17

セキュリティ対策に求められる新たな視点第11回

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

サイバー攻撃は避けられない。だから「リスク移転」で自社を守る

2020.01.08

セキュリティ対策に求められる新たな視点第10回

サイバー攻撃は避けられない。だから「リスク移転」で自社を守る

企業はサイバー攻撃を排除できない。でも、リスクの管理はできる

2019.12.25

セキュリティ対策に求められる新たな視点第9回

企業はサイバー攻撃を排除できない。でも、リスクの管理はできる

セキュリティ対策は「経営責任」とプロが断言する理由

2019.11.29

セキュリティ対策に求められる新たな視点第8回

セキュリティ対策は「経営責任」とプロが断言する理由

人手が足りなくても、セキュリティレベルは高められる

2019.11.01

DXを加速させるITシステムの運用改革第12回

人手が足りなくても、セキュリティレベルは高められる