NRIセキュアテクノロジーズ株式会社(本社:東京都千代田区、代表取締役社長:増谷 洋、以下「NRIセキュア」)は、顧客企業に提供した各種の情報セキュリティ対策サービスを通じて得られたデータ*1の分析を元に、最新のセキュリティ脅威の動向と推奨する対策を「サイバーセキュリティ 傾向分析レポート2014(以下「本レポート」)」として取りまとめました。本レポートは、企業や公的機関の情報セキュリティ対策の推進を支援する目的で、2005年度以降、毎年発表しており、今回で10回目となります。
今回の分析で明らかになった、情報セキュリティ関連の問題点は以下の3つです。
○ 企業が一元的に存在を把握しているWebサイトは約5割に過ぎない
○ サポート切れソフトウェア製品のバージョンアップが進んでいない
○ CSIRT*2(情報セキュリティ対策チーム)の運営に必要な人材の確保が困難である
■企業が一元的に存在を把握しているWebサイトは約5割、Webサイトのインベントリ管理の再考が必要
企業が管理すべきWebサイトの棚卸を実施した結果、企業が一元的に存在を把握できていたWebサイトは約5割にとどまることがわかりました。危険度が高い脆弱性が公表された際には、各サイトについて脆弱性を抱えるバージョンのソフトウェア製品を利用しているかどうかに加え、そのサイトがインターネットに公開されているか否かといったネットワークの構成情報も考慮に入れた調査が必要になります。
しかし、一元的に把握できていない約5割のWebサイトについては、そもそも、その調査対象に含まれないため、脆弱性が放置されたままで公開されている可能性があります。
【図 1: Webサイトの把握状況に関する棚卸結果(n=5338サイト)】
今回の分析で明らかになった、情報セキュリティ関連の問題点は以下の3つです。
○ 企業が一元的に存在を把握しているWebサイトは約5割に過ぎない
○ サポート切れソフトウェア製品のバージョンアップが進んでいない
○ CSIRT*2(情報セキュリティ対策チーム)の運営に必要な人材の確保が困難である
■企業が一元的に存在を把握しているWebサイトは約5割、Webサイトのインベントリ管理の再考が必要
企業が管理すべきWebサイトの棚卸を実施した結果、企業が一元的に存在を把握できていたWebサイトは約5割にとどまることがわかりました。危険度が高い脆弱性が公表された際には、各サイトについて脆弱性を抱えるバージョンのソフトウェア製品を利用しているかどうかに加え、そのサイトがインターネットに公開されているか否かといったネットワークの構成情報も考慮に入れた調査が必要になります。
しかし、一元的に把握できていない約5割のWebサイトについては、そもそも、その調査対象に含まれないため、脆弱性が放置されたままで公開されている可能性があります。
【図 1: Webサイトの把握状況に関する棚卸結果(n=5338サイト)】
Webサイトのセキュリティ対策を講じる上では、管理対象を洗い出す作業が真っ先に必要です。企業の規模が大きく、また組織が複雑になればなるほど実践が難しい作業であるとも言えます。クラウドサービスの台頭、企業の再編や海外進出等を背景として、Webサイトにおけるインベントリ管理の仕組みを見直す必要性が高まっています。
■ソフトウェア製品のサポート切れリスクの認識と対応が必要
2013年度、PHP*3とStruts*4に対して公表された危険度が高い脆弱性は、2012年度に公表された類似のものと比べて、脆弱性の公表日から攻撃を観測するまでの期間が短期化(1~3日程度)しています。このような攻撃への根本的な対策は、攻撃を受ける前に迅速にセキュリティパッチを適用*5することですが、Webサイトで利用されているソフトウェア製品の中には、セキュリティパッチを入手できない「サポート切れ」の状態で稼働しているものがあります。例として、PHPとApache*6のサポート切れの状況は図2の通りです。
【図 2: ソフトウェア製品のサポート切れ状況(一部紹介)】
■ソフトウェア製品のサポート切れリスクの認識と対応が必要
2013年度、PHP*3とStruts*4に対して公表された危険度が高い脆弱性は、2012年度に公表された類似のものと比べて、脆弱性の公表日から攻撃を観測するまでの期間が短期化(1~3日程度)しています。このような攻撃への根本的な対策は、攻撃を受ける前に迅速にセキュリティパッチを適用*5することですが、Webサイトで利用されているソフトウェア製品の中には、セキュリティパッチを入手できない「サポート切れ」の状態で稼働しているものがあります。例として、PHPとApache*6のサポート切れの状況は図2の通りです。
【図 2: ソフトウェア製品のサポート切れ状況(一部紹介)】
セキュリティパッチを入手するためには、サポート切れの製品をバージョンアップして、サポートを受けられる状態にする必要があります。しかし、その際にWebアプリケーションの改修が必要になる場合も多く、また改修には一定期間を要するため、脆弱性の公表日から攻撃を受けるまでの短期間のうちに対策を完了することは非常に困難です。バージョンアップを実施するまでの暫定措置としては、WAF*7(Webアプリケーションファイアウォール)の活用が有効です。
■CSIRT運営には、システムと人材の融合と継続的な訓練・教育が不可欠
セキュリティ対策の一つとして、CSIRTの重要性が認知されてきています。しかし、実際にCSIRTを立ち上げて運営していくには、CSIRTで提供するサービス範囲に応じて、セキュリティ基盤の設計や構築といったシステム面の工夫と、高度な専門性を有する人員の確保をはじめとする人材面での手当てという、2つの要素が必要です。これら2つの要素を適切に融合できなければ、昨今の高度化・多様化するサイバー攻撃に迅速かつ正確に対応していくことは困難です。さらに、CSIRTには持続的な活動が求められることから、継続的な運用訓練や教育を通じて、日々進化する攻撃への対応力を維持し続けることが、最も難しくかつ重要なポイントです。
「サイバーセキュリティ 傾向分析レポート2014」(2014年8月20日公開)の詳細については、下記のWebサイトを参照ください。
http://www.nri-secure.co.jp/news/2014/0820_report.html
*1 本レポートで分析対象としたデータ:
NRIセキュアテクノロジーズが、2013年度(2013年4月1日~2014年3月31日)に、顧客企業に提供した情報セキュリティ関連サービスから得られたデータ、および2008年度からの経年データ。
*2 CSIRT(Computer Security Incident Response Team):
組織内において、情報セキュリティの問題に対して専門に対応する組織。
*3 PHP(PHP:Hypertext Preprocessor):
Webサーバ上で動作する、動的なウェブページを作成するためのプログラム言語。
*4 Struts:
Javaを用いたWebアプリケーションの開発ツール群。
*5 セキュリティパッチの適用:
脆弱性があるプログラムに対して、修正ファイル(パッチ)を適用すること。
*6 Apache:
Webサーバを構築するためのソフトウェア製品。
*7 WAF(Webアプリケーションファイアウォール):
Webアプリケーションへの攻撃を防止するセキュリティ対策製品。
________________________________________
【お知らせに関するお問い合わせ】
株式会社野村総合研究所 コーポレートコミュニケーション部 十河、海藤
TEL:03-6270-8100 E-mail:kouhou@nri.co.jp
【レポートに関するお問い合わせ】
NRIセキュアテクノロジーズ株式会社 テクニカルコンサルティング部 深尾
TEL:03-6706-0500 E-mail:info@nri-secure.co.jp
■CSIRT運営には、システムと人材の融合と継続的な訓練・教育が不可欠
セキュリティ対策の一つとして、CSIRTの重要性が認知されてきています。しかし、実際にCSIRTを立ち上げて運営していくには、CSIRTで提供するサービス範囲に応じて、セキュリティ基盤の設計や構築といったシステム面の工夫と、高度な専門性を有する人員の確保をはじめとする人材面での手当てという、2つの要素が必要です。これら2つの要素を適切に融合できなければ、昨今の高度化・多様化するサイバー攻撃に迅速かつ正確に対応していくことは困難です。さらに、CSIRTには持続的な活動が求められることから、継続的な運用訓練や教育を通じて、日々進化する攻撃への対応力を維持し続けることが、最も難しくかつ重要なポイントです。
「サイバーセキュリティ 傾向分析レポート2014」(2014年8月20日公開)の詳細については、下記のWebサイトを参照ください。
http://www.nri-secure.co.jp/news/2014/0820_report.html
*1 本レポートで分析対象としたデータ:
NRIセキュアテクノロジーズが、2013年度(2013年4月1日~2014年3月31日)に、顧客企業に提供した情報セキュリティ関連サービスから得られたデータ、および2008年度からの経年データ。
*2 CSIRT(Computer Security Incident Response Team):
組織内において、情報セキュリティの問題に対して専門に対応する組織。
*3 PHP(PHP:Hypertext Preprocessor):
Webサーバ上で動作する、動的なウェブページを作成するためのプログラム言語。
*4 Struts:
Javaを用いたWebアプリケーションの開発ツール群。
*5 セキュリティパッチの適用:
脆弱性があるプログラムに対して、修正ファイル(パッチ)を適用すること。
*6 Apache:
Webサーバを構築するためのソフトウェア製品。
*7 WAF(Webアプリケーションファイアウォール):
Webアプリケーションへの攻撃を防止するセキュリティ対策製品。
________________________________________
【お知らせに関するお問い合わせ】
株式会社野村総合研究所 コーポレートコミュニケーション部 十河、海藤
TEL:03-6270-8100 E-mail:kouhou@nri.co.jp
【レポートに関するお問い合わせ】
NRIセキュアテクノロジーズ株式会社 テクニカルコンサルティング部 深尾
TEL:03-6706-0500 E-mail:info@nri-secure.co.jp