独立テスト機関から見る企業セキュリティの「今すぐそこにある脅威」(後編) - (page 2)

吉澤亨史 2010年08月20日 08時00分

  • このエントリーをはてなブックマークに追加
  • 印刷

 現在、100%の保護を実現するセキュリティ製品はなく、また現時点で最高と言われる製品もアップデートをしていかないと十分な効果を発揮できない。そうした製品選びを社内だけで行うことは間違いが起こりやすく、そのためにはテストを最大限活用するほか、コンサルタントを雇うことや専任スタッフを設置することも重要であるとの見解で一致した。また、部署や部門によってポリシーが異なることも意識しておく必要があるとした。

仮想化技術も侵入口になり得る

 パネルディスカッションはここで再びアンケートが実施され、その結果として次のテーマは「攻撃の侵入口について」に決定した。

Rick Moy氏 NSS LabsプレジデントのRick Moy氏

 このテーマに対しMoy氏は、脆弱性を狙う攻撃はすでにスタンダードなものになっており、独立系テスト機関でも得意な分野になっていると説明。脆弱性を狙う攻撃は非常に大きな問題であり、中国からGoogleなど多くの米企業を対象に行われた「Operation Aurora」の例を引用するまでもなく、ユーザーに対するソーシャルな攻撃にも利用されているという。そして、2010年はすでに3000〜4000の脆弱性が発見されており、これにはマイクロソフト製品やアドビ製品、Firefoxの重大な脆弱性も含まれているとしている。

 Moy氏が務めるNSS Labsでは脆弱性対策におけるテスト手法を独自の技術で開発しているが、マルウェアのテストよりも1ケタ、複雑さが増すという。これは、脆弱性を狙う攻撃はファイルよりもメモリを狙い、多彩な攻撃を仕掛けてくるため、従来のファイルをスキャンする対策では守りきれないからだとしている。しかし、セキュリティ業界は、このことをあまり理解していない印象を受けるとMoy氏は説明している。

Peter Stelzhammer氏 AV-Comparatives.orgバイスチェアマンのPeter Stelzhammer氏

 Stelzhammer氏は、仮想化技術に新たな侵入口があると指摘。同氏は、仮想化ソフトには大量のマルウェアに侵入される危険性があり、ハードウェアのレイヤに攻撃が届くときには、もう手遅れになると説明する。

 Morgenstern氏もこの意見に同意し、レイヤが異なるため検出が難しいと指摘する。Genes氏は、この問題に対してはプリブート状態でのスキャンが有効であると主張、2年後には標準的な対策になるだろうと予測する。

 普及率が高く、高機能化が著しい携帯電話はマルウェアの侵入口になり得るかという質問について、Genes氏は「攻撃者にとって魅力的ではない」と否定する。携帯電話はOSが多彩なため、多くの攻撃方法を用意しなければならないためだという。OSごとに攻撃手法を考えるくらいなら、ユーザーシェア8割のマイクロソフト製品を狙う方がはるかに効率がいいからだという。

 Moy氏もGenes氏の意見に同意。金銭目当てであれば、マイクロソフト製品への攻撃が最も有効だという。北米ではモバイルバンキングがあまり利用されておらず、携帯電話については日本が最も進んでおり、欧州も同様だが、今後攻撃にさらされるかというと疑問だとしている。

 それよりもデータセンターにあるデータが狙われるとMoy氏は予測。データセンターは仮想化されているので、ハイパーバイザやノートPCが標的になるだろうとし、最も守るべき場所はデータのある場所だと説明している。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

SpecialPR

連載

CIO
教育IT“本格始動”
月刊 Windows 10移行の心・技・体
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
セキュリティインシデント対応の現場
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft Inspire
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]