ラピッドセブン・ジャパンは8月3日、米本社Rapid7がインターネットリスクを包括的かつ国別や業界別、クラウド別に4月に調査した「NICER(National / Industry / Cloud Exposure Report)」2020年度版の結果を発表した。サイバーリスクの危険度で日本は世界8位にランク付けされ、上位には米国、中国、韓国、英国、ドイツ、ブラジル、ロシアが並ぶ(ランクが上位=より悪い)。
代表執行役社長 森下恭介氏は「調査データを組織ごとに取り出し、組織の傾向をお見せするサービスを先着15社程度に無償提供している」と説明する。

ラピッドセブン・ジャパン 代表執行役社長 森下恭介氏

ラピッドセブン・ジャパン シニアセキュリティコンサルタント 本田俊夫氏
Rapid7は2016年からインターネットに接続したサービスにおけるサイバーエクスポージャー(外部公開設定の弱点)をまとめた「NEI(National Exposure Index)」や業種別のサイバーエクスポージャーをまとめた「ICER(Industry Cyber Exposure Report)」を提供してきた。
今年から両者をNICERに統合。同社のインターネットスキャナーであるProject SonarやグローバルハニーポットのProject Heisenberg、指紋照合フレームワークのProject Recogを用いて、24種類のプロトコルやサービスを調査した。
シニアセキュリティコンサルタント 本田俊夫氏はNICERを作成する理由として、「攻撃対象領域の可視化によるリスクの把握や主要な攻撃対象領域である公開環境に対する『脆弱性』を把握するため。レポートにおける脆弱性は『安全ではないサービスの利用や設定』『CVE(Common Vulnerabilities and Exposures)で公開された既知の脆弱性』を意味する」と説明した。
国別ランキングは、調査期間中に露出状況にあったIPv4の合計数や特定サービスの露出状況、既知の脆弱性数や脆弱性を伴うサービス公開の集中度など5つの指標をもとに作成。その結果、日本は50カ国中8位だった。IPアドレスと国家はイコールではないため、標準規格であるISO 3166 3-alphaの国名コードを用いている。
結果について本田氏は「広大なIPv4アドレス空間を持つ国が相対的に上位にランクインしているのは想定どおり。他方で国土や人口、経済規模(GDP)だけではなく、インターネットやモバイルデバイスの普及率との相関関係は見つからなかった」と述べた。
技術・通信、金融サービスで重要度が高い脆弱性
業種別ランキングは、ICERの対象国だった米国、英国、日本、オーストリア、ドイツ5カ国の約1500社を対象にインターネットに露出しているサービスやコンポーネントで発見された脆弱性数を主な評価指標として業種別にランク付けしている(業種別ではグレードが高い=良い)。
4段階評価でグレードAに類したのは航空宇宙・防衛・輸送、自動車・部品。最下位のグレードDには技術・通信、金融サービス、医療・製薬、エンジニアリング・建設・工業、原料・鉱業の業種が並ぶ。特に技術・通信、金融サービスの企業で重要度が高い脆弱性の検出量が多く、本田氏は「過去12カ月に発生した侵害やランサムウェア被害の事例を振り返ると、多くがグレードDの業種に集中している」と説明する。
技術・通信の平均脆弱性数は約109件、金融サービスの平均脆弱性数は約133件を検出した。脆弱性を検出したアプリケーションはウェブサーバーの「Apache」が1万4830件と多いものの、本田氏は「対象となった約1500組織のサイバーエクスポージャーは約40%(611組織)。古いITインフラやアプリケーションの更改に伴って低下していく」と予想する。
日本に特化した調査情報を見ると、デバイス数約430万台、IPv4のホスティングサービス数約700万件のうち、CVEによる重大性のランク別に見ると、低=158万5811件、中=172万3568件、高=175万2772件を検出。11万5691件を検出した「Telnet」だが、前年比で7%も上昇している。