海外コメンタリー

企業の脆弱性対応戦略、効果は「サイコロを振る」のと同程度

Charlie Osborne (Special to ZDNet.com) 翻訳校正: 石橋啓一郎 2018年05月22日 06時30分

  • このエントリーをはてなブックマークに追加

 現在の企業のサイバーセキュリティ戦略は十分ではないようだ。

 Kenna SecuirtyとCyentia Instituteが発表した新しいレポートによれば、企業のサイバーセキュリティ戦略は、パッチ管理や脆弱性対策、サイバーセキュリティリスク管理に関する計画や構造が不十分であり、運に頼った方法と大差がないという。

 米国時間5月15日に発表された「Prioritization to Prediction: Analyzing Vulnerability Remediation Strategies」と題したこの調査レポートでは、企業が対処しなければならない脆弱性の数が増えていると指摘している。

 MITREが設立されてから2018年1月までに、12万件以上の共通脆弱性識別子(Common Vulnerability Exposures、CVE)が作成されている。そのうち、合計で約2万1000件が「予約」された状態になっているが、これは、識別子が割り当てられたが、まだ具体的な詳細情報が公開されていない脆弱性がそれだけ存在することを示している。

キャプション

 Kenna SecuirtyとCyentia Instituteは、MITREの9万4597件のCVEと、SANS Internet Storm Center、Securewords CTU、Alienvaults OSSIM、Reversing Labsのリソースを含む複数の情報源から収集された、数百万件のセキュリティデータポイントを分析した。

 (研究者らは、MITREの12万件のCVEの一部を、検証不可能または論争があるデータとして分析から除いている)

 公表された脆弱性を分析したところ、2017年には、企業が対応を検討しなければならない新たな脆弱性の数は1日あたり平均40件だったという。

 これだけ多くの新たな脆弱性が公開されていることを考えれば、効果的なパッチ適用戦略を策定するのに苦心している企業があっても不思議はない。

 企業にとってのもう1つの課題は、対応スピードかもしれない。

 新たな脆弱性を悪用した攻撃コードが開発されて世に出るのは、情報が公開されてから1カ月間がもっとも多く、平均では攻撃コードの50%が情報公開から14日の間に出回っている。

 攻撃コードが開発された場合、その脆弱性が実際に悪用される可能性は平均で7倍高くなる。本記事執筆時点では、攻撃コードが存在するCVEの割合は22%だ。

 情報公開から1年経過してから、その脆弱性を悪用する攻撃コードが出てくるケースは1%しかない。

キャプション

 つまり現実的には、重要なビジネスのシステムが新しいバグによって影響を受けるかどうかを確認し、問題を修正するまでに約10営業日しかないということだ。

 条件によっては(サードパーティーアプリケーションやクラウド、オフプレミスサービス、モバイルデバイス、モノのインターネット(IoT)、オープンソースコンポーネントなどを利用しているかなど)、それが極めて困難な場合もある。

 その一方で、脆弱性の大多数(77%)は攻撃コードで使用されることはなく、実際にサイバー攻撃で悪用されている脆弱性は、わずか2%だと推計されている。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]