調査

ハッカーたちが明らかにした「企業セキュリティの盲点」

Charlie Osborne (ZDNET.com) 翻訳校正: 編集部

2017-09-21 10:22

 サイバーセキュリティの防壁が破られる場合、人的エラーが要因であることが多いが、ハッカーは企業ネットワークのセキュリティ上の盲点として、パスワード保護、顔認識、アクセス管理も挙げている。


提供:Bitglass

 クラウドセキュリティ企業Bitglassの報告書「Data Games: Security Blind Spots」によると、自称ホワイトハッカーとブラックハッカーの両者は、これらのセキュリティ対策は最も効果が低く、中間者(MiTM)攻撃によって認証情報を強引に取得したり、こっそりと裏をかいて盗み取ったりする必要さえないと考えているようだ。

 むしろ、必ず悪用できる弱点は人的エラーと無知であるため、企業データを盗み取るための最善の戦略はフィッシングキャンペーンだという。

 Bitglassが12日に明らかにしたところによると、2017年にセキュリティ会議「Black Hat」に参加し、報告書の作成に貢献したハッカー129人の大多数は、企業から情報を盗んだり取得したりする手段として、マルウェアとランサムウェアを2位に挙げた。

 これらのハッカーの80%以上は、企業のIT部門で勤務経験があることを明らかにしている。

 企業の主たるセキュリティの盲点として、管理されていないデバイスを挙げた回答者は合計61%。次いで、更新されていないシステム、アプリケーション、プログラムが55%だった。

 さらにハッカーの36%が、重要な盲点としてモバイル機器を挙げた。これは、個人所有デバイスの業務利用(BYOD)を認める企業方針を考慮すると、驚くにはあたらない。未確認のモバイル機器、OSバージョン、パッチプロセスを企業ネットワークに接続することになるからだ。

 また26%が、クラウドに保存されたままになっているデータも盲点だと考えており、20%は従来のオンプレミスのセキュリティが不十分だと感じている。


 Bitglassの製品管理担当バイスプレジデントであるMike Schuricht氏は、「クラウドの導入と、クラウドを通じて社員が容易に企業データを共有できるようになったことで、フィッシングとマルウェアの脅威がもたらす影響力がますます大きくなっている。セキュリティ技術の多くは、ITの最も大きな盲点である未管理デバイスと異常アクセスに対応できていない」と述べた。

 また報告書には、顔認識もセキュリティ対策における最も効果のないツールの1つとして登場した。

 合計33%のハッカーは、パスワード保護した文書がセキュリティ対策ツールとして最も効果が低いと考えており、次が19%の顔認識だった。

 「これらのツールがセキュリティ対策として不十分だと見られていることを考えると、『User and Entity Behavioral Analytics(UEBA)』などの高度な機能を併用する必要がある」(Bitglass)

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]