編集部からのお知らせ
記事まとめ集:コロナ禍に小売業はどう対応?
テレワーク関連記事一覧はこちら
海外コメンタリー

企業の脆弱性対応戦略、効果は「サイコロを振る」のと同程度

Charlie Osborne (Special to ZDNet.com) 翻訳校正: 石橋啓一郎

2018-05-22 06:30

 現在の企業のサイバーセキュリティ戦略は十分ではないようだ。

 Kenna SecuirtyとCyentia Instituteが発表した新しいレポートによれば、企業のサイバーセキュリティ戦略は、パッチ管理や脆弱性対策、サイバーセキュリティリスク管理に関する計画や構造が不十分であり、運に頼った方法と大差がないという。

 米国時間5月15日に発表された「Prioritization to Prediction: Analyzing Vulnerability Remediation Strategies」と題したこの調査レポートでは、企業が対処しなければならない脆弱性の数が増えていると指摘している。

 MITREが設立されてから2018年1月までに、12万件以上の共通脆弱性識別子(Common Vulnerability Exposures、CVE)が作成されている。そのうち、合計で約2万1000件が「予約」された状態になっているが、これは、識別子が割り当てられたが、まだ具体的な詳細情報が公開されていない脆弱性がそれだけ存在することを示している。

キャプション

 Kenna SecuirtyとCyentia Instituteは、MITREの9万4597件のCVEと、SANS Internet Storm Center、Securewords CTU、Alienvaults OSSIM、Reversing Labsのリソースを含む複数の情報源から収集された、数百万件のセキュリティデータポイントを分析した。

 (研究者らは、MITREの12万件のCVEの一部を、検証不可能または論争があるデータとして分析から除いている)

 公表された脆弱性を分析したところ、2017年には、企業が対応を検討しなければならない新たな脆弱性の数は1日あたり平均40件だったという。

 これだけ多くの新たな脆弱性が公開されていることを考えれば、効果的なパッチ適用戦略を策定するのに苦心している企業があっても不思議はない。

 企業にとってのもう1つの課題は、対応スピードかもしれない。

 新たな脆弱性を悪用した攻撃コードが開発されて世に出るのは、情報が公開されてから1カ月間がもっとも多く、平均では攻撃コードの50%が情報公開から14日の間に出回っている。

 攻撃コードが開発された場合、その脆弱性が実際に悪用される可能性は平均で7倍高くなる。本記事執筆時点では、攻撃コードが存在するCVEの割合は22%だ。

 情報公開から1年経過してから、その脆弱性を悪用する攻撃コードが出てくるケースは1%しかない。

キャプション

 つまり現実的には、重要なビジネスのシステムが新しいバグによって影響を受けるかどうかを確認し、問題を修正するまでに約10営業日しかないということだ。

 条件によっては(サードパーティーアプリケーションやクラウド、オフプレミスサービス、モバイルデバイス、モノのインターネット(IoT)、オープンソースコンポーネントなどを利用しているかなど)、それが極めて困難な場合もある。

 その一方で、脆弱性の大多数(77%)は攻撃コードで使用されることはなく、実際にサイバー攻撃で悪用されている脆弱性は、わずか2%だと推計されている。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]