海外コメンタリー

ジュニパー、バックドア問題受けNSA開発のコード排除へ--問題の本質と教訓は? - (page 2)

Conner Forrest (TechRepublic) 翻訳校正: 石橋啓一郎

2016-01-18 06:30

 今回のDual ECに関するニュースは、カリフォルニア大学サンディエゴ校の研究者が、Juniper Networksの製品にVPNセッションに対するアクセスを提供するバックドアが2008年から存在したとする発表を行ってからわずか1日後、Rapid7がScreenOSにデフォルトでバックドアパスワードが存在すると発表してから約1カ月後に流れた。

 今回のJuniper Networksのような問題の発覚は、企業のITプロフェッショナルにとっては深刻な課題だ。これらのバックドアを発見した者であれば、誰でもこれを悪用して組織を攻撃できることになる。また、ベンダーの製品に脆弱性が見つかった場合に、組織の対応があまりにも遅ければ、それによって引き起こされた被害の責任は、その組織が負うことになりかねない。

 例えば、Shodanの設立者John Matherly氏によれば、2015年末時点でも、いまだに20万台以上のデバイスにOpenSSLの「HeartBleed」の脆弱性が残っている。この脆弱性が発見されてから、すでに1年以上が経っているにも関わらずだ。こうなると多くの場合、責任はベンダーよりもその企業にかかってくる。

 Pironti氏は、企業が自分自身の身を守り、十分な情報に基づく判断を下すには、使用している製品で使われているコードやアルゴリズムに十分な注意を払う必要があると述べている。

 「これは、企業がコードや製品の調達および採用プロセスの一環として、ベンダーに対して、製品の開発に使用されたすべてのコードライブラリとアルゴリズムのリストを提供するよう求めるべきであることを意味している」(Pironti氏)

 同氏はさらに、情報漏えいや攻撃を受けた場合にとる手順について、企業はベンダーやサードパーティーに責任を負わせるようにすべきだと述べている。

 米TechRepublicのコラムニストMichael Kassner氏は、組織が潜在的な脅威や脆弱性から自己を防衛する別の方法として、重要なネットワーク機器の製造過程を検証できるようにすることを挙げている。

 「専門家がよく指摘するように、セキュリティ関連のハードウェアやソフトウェアのメーカーは、ソフトウェアパッケージやデバイス組み立ての一部を、他の企業に下請けに出している。その製造過程のどこかで、悪質なハードウェアやソフトウェアが、コンポーネントや部品、デバイスなどに組み込まれている可能性がある」(Kassner氏)

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]