教訓は再び示された--ソフトウェアをパッチせよ

藤川紳太郎(Absolute) 2017年12月17日 07時00分

  • このエントリーをはてなブックマークに追加

 今年の5月中旬から7月にかけて、米信用機関最大手のEquifax社が大規模なサイバー攻撃を受けた。1億4500万件以上の個人情報の漏えいにつながったこの不正アクセス事件に関して、Richard Smith前最高経営責任者(CEO)は、議会委員会で証言。社内のオンライン異議申し立てポータル内において、「Apache Struts」ソフトウェアの脆弱性が修正されておらず、そこから不正アクセスがあったという。

 Smith氏によれば、最初はU.S. CERT(米国国土安全保障省配下の情報セキュリティ対策組織)から、そして自社のウィルスチェックからも数カ月前にこの脆弱性に関する通知を受け取っていたが、いずれの警告もITセキュリティチームによる修正を促すにいたらなかったという。

 ――これは痛い。この事件の結果、CISO(Chief Information Security Officer)からCEOにいたるまで幹部の全面的な交代劇が起きた。すでに2件の訴訟も起きている。影響はさらに広がっていくだろう。

 しかしここで、私たちは正直になるべきだ。セキュリティの担当者として、更新の1つや2つを後回しにした経験は珍しいものではないだろう。新たな脆弱性は毎日のようにシステム上に見出され、必要なパッチや更新の数に対処し続けるのは、不可能でないにしても難しい。

 予算や人員が限られていることを考えればなおさらだ。しかし毎週のようにニュースで聞くように、パッチや更新の作業を怠るのは危険な賭けである。処理能力の不足は正当な理由になるかもしれないが、言い訳にしてはならない。

 手作業によるエンドポイントセキュリティという従来型の手法は、問題を大きくし、パッチングのような基本的メンテナンス作業の軽視につながる。私たち(カナダのセキュリティ企業、Absolute)は先日、米Ponemon Institute社(情報セキュリティに関する専門研究機関)と協力して、「The Cost of Insecure Endpoints(安全でないエンドポイントのコスト)」の年次調査を行った。その結果、セキュリティやITのチームの典型例として、エンドポイントへの手作業のアクセスや管理、安全対策の作業に週に1156時間を費やしていることが分かった。さらに、パッチングが追いついていないと回答した割合は75%だった。

 組織のセキュリティ問題にすべて対処する万能薬はないものの、優先すべき手順はある。調査では、エンドポイントの視界とコントロールを維持するための要素として「自動化」が重視されていた。あるかどうか分からないものをパッチすることはできない。セキュリティやITのチームは毎週、間違った場所を追跡するのに平均で425人時を無駄にしていると言われる。

 自動化は、優先度の高い更新を行い、セキュリティ体制の向上を図れるだけでなく、費用も大きく削減することができる。今回の調査では年間340万ドル節約できるとの結果が出た。

 Equifaxの情報漏えい事件は、対処されなかったセキュリティパッチという大海のほんの一例に過ぎない。直近では、ランサムウェア「WannaCry」被害などが典型例だろう。残念ながら、この問題はしばらく続くと考えざるを得ない。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]