サイバーセキュリティの防壁が破られる場合、人的エラーが要因であることが多いが、ハッカーは企業ネットワークのセキュリティ上の盲点として、パスワード保護、顔認識、アクセス管理も挙げている。
提供:Bitglass
クラウドセキュリティ企業Bitglassの報告書「Data Games: Security Blind Spots」によると、自称ホワイトハッカーとブラックハッカーの両者は、これらのセキュリティ対策は最も効果が低く、中間者(MiTM)攻撃によって認証情報を強引に取得したり、こっそりと裏をかいて盗み取ったりする必要さえないと考えているようだ。
むしろ、必ず悪用できる弱点は人的エラーと無知であるため、企業データを盗み取るための最善の戦略はフィッシングキャンペーンだという。
Bitglassが12日に明らかにしたところによると、2017年にセキュリティ会議「Black Hat」に参加し、報告書の作成に貢献したハッカー129人の大多数は、企業から情報を盗んだり取得したりする手段として、マルウェアとランサムウェアを2位に挙げた。
これらのハッカーの80%以上は、企業のIT部門で勤務経験があることを明らかにしている。
企業の主たるセキュリティの盲点として、管理されていないデバイスを挙げた回答者は合計61%。次いで、更新されていないシステム、アプリケーション、プログラムが55%だった。
さらにハッカーの36%が、重要な盲点としてモバイル機器を挙げた。これは、個人所有デバイスの業務利用(BYOD)を認める企業方針を考慮すると、驚くにはあたらない。未確認のモバイル機器、OSバージョン、パッチプロセスを企業ネットワークに接続することになるからだ。
また26%が、クラウドに保存されたままになっているデータも盲点だと考えており、20%は従来のオンプレミスのセキュリティが不十分だと感じている。
Bitglassの製品管理担当バイスプレジデントであるMike Schuricht氏は、「クラウドの導入と、クラウドを通じて社員が容易に企業データを共有できるようになったことで、フィッシングとマルウェアの脅威がもたらす影響力がますます大きくなっている。セキュリティ技術の多くは、ITの最も大きな盲点である未管理デバイスと異常アクセスに対応できていない」と述べた。
また報告書には、顔認識もセキュリティ対策における最も効果のないツールの1つとして登場した。
合計33%のハッカーは、パスワード保護した文書がセキュリティ対策ツールとして最も効果が低いと考えており、次が19%の顔認識だった。
「これらのツールがセキュリティ対策として不十分だと見られていることを考えると、『User and Entity Behavioral Analytics(UEBA)』などの高度な機能を併用する必要がある」(Bitglass)
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。