今回のDual ECに関するニュースは、カリフォルニア大学サンディエゴ校の研究者が、Juniper Networksの製品にVPNセッションに対するアクセスを提供するバックドアが2008年から存在したとする発表を行ってからわずか1日後、Rapid7がScreenOSにデフォルトでバックドアパスワードが存在すると発表してから約1カ月後に流れた。
今回のJuniper Networksのような問題の発覚は、企業のITプロフェッショナルにとっては深刻な課題だ。これらのバックドアを発見した者であれば、誰でもこれを悪用して組織を攻撃できることになる。また、ベンダーの製品に脆弱性が見つかった場合に、組織の対応があまりにも遅ければ、それによって引き起こされた被害の責任は、その組織が負うことになりかねない。
例えば、Shodanの設立者John Matherly氏によれば、2015年末時点でも、いまだに20万台以上のデバイスにOpenSSLの「HeartBleed」の脆弱性が残っている。この脆弱性が発見されてから、すでに1年以上が経っているにも関わらずだ。こうなると多くの場合、責任はベンダーよりもその企業にかかってくる。
Pironti氏は、企業が自分自身の身を守り、十分な情報に基づく判断を下すには、使用している製品で使われているコードやアルゴリズムに十分な注意を払う必要があると述べている。
「これは、企業がコードや製品の調達および採用プロセスの一環として、ベンダーに対して、製品の開発に使用されたすべてのコードライブラリとアルゴリズムのリストを提供するよう求めるべきであることを意味している」(Pironti氏)
同氏はさらに、情報漏えいや攻撃を受けた場合にとる手順について、企業はベンダーやサードパーティーに責任を負わせるようにすべきだと述べている。
米TechRepublicのコラムニストMichael Kassner氏は、組織が潜在的な脅威や脆弱性から自己を防衛する別の方法として、重要なネットワーク機器の製造過程を検証できるようにすることを挙げている。
「専門家がよく指摘するように、セキュリティ関連のハードウェアやソフトウェアのメーカーは、ソフトウェアパッケージやデバイス組み立ての一部を、他の企業に下請けに出している。その製造過程のどこかで、悪質なハードウェアやソフトウェアが、コンポーネントや部品、デバイスなどに組み込まれている可能性がある」(Kassner氏)
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
