今年の5月中旬から7月にかけて、米信用機関最大手のEquifax社が大規模なサイバー攻撃を受けた。1億4500万件以上の個人情報の漏えいにつながったこの不正アクセス事件に関して、Richard Smith前最高経営責任者(CEO)は、議会委員会で証言。社内のオンライン異議申し立てポータル内において、「Apache Struts」ソフトウェアの脆弱性が修正されておらず、そこから不正アクセスがあったという。
Smith氏によれば、最初はU.S. CERT(米国国土安全保障省配下の情報セキュリティ対策組織)から、そして自社のウィルスチェックからも数カ月前にこの脆弱性に関する通知を受け取っていたが、いずれの警告もITセキュリティチームによる修正を促すにいたらなかったという。
――これは痛い。この事件の結果、CISO(Chief Information Security Officer)からCEOにいたるまで幹部の全面的な交代劇が起きた。すでに2件の訴訟も起きている。影響はさらに広がっていくだろう。
しかしここで、私たちは正直になるべきだ。セキュリティの担当者として、更新の1つや2つを後回しにした経験は珍しいものではないだろう。新たな脆弱性は毎日のようにシステム上に見出され、必要なパッチや更新の数に対処し続けるのは、不可能でないにしても難しい。
予算や人員が限られていることを考えればなおさらだ。しかし毎週のようにニュースで聞くように、パッチや更新の作業を怠るのは危険な賭けである。処理能力の不足は正当な理由になるかもしれないが、言い訳にしてはならない。
手作業によるエンドポイントセキュリティという従来型の手法は、問題を大きくし、パッチングのような基本的メンテナンス作業の軽視につながる。私たち(カナダのセキュリティ企業、Absolute)は先日、米Ponemon Institute社(情報セキュリティに関する専門研究機関)と協力して、「The Cost of Insecure Endpoints(安全でないエンドポイントのコスト)」の年次調査を行った。その結果、セキュリティやITのチームの典型例として、エンドポイントへの手作業のアクセスや管理、安全対策の作業に週に1156時間を費やしていることが分かった。さらに、パッチングが追いついていないと回答した割合は75%だった。
組織のセキュリティ問題にすべて対処する万能薬はないものの、優先すべき手順はある。調査では、エンドポイントの視界とコントロールを維持するための要素として「自動化」が重視されていた。あるかどうか分からないものをパッチすることはできない。セキュリティやITのチームは毎週、間違った場所を追跡するのに平均で425人時を無駄にしていると言われる。
自動化は、優先度の高い更新を行い、セキュリティ体制の向上を図れるだけでなく、費用も大きく削減することができる。今回の調査では年間340万ドル節約できるとの結果が出た。
Equifaxの情報漏えい事件は、対処されなかったセキュリティパッチという大海のほんの一例に過ぎない。直近では、ランサムウェア「WannaCry」被害などが典型例だろう。残念ながら、この問題はしばらく続くと考えざるを得ない。