国内時価総額上位25社の12万件以上の「資産」が悪用のリスクに--テナブル調査

渡邉利和

2023-07-18 10:02

 Tenable Network Security Japanは7月13日、企業の「サイバー衛生管理」に関する独自調査の結果に関する説明会を開催した。国内では時価総額上位25社だけで12万件以上の資産がサイバー攻撃などの悪用のリスクにさらされているという。

 調査は、オーストラリア、インド、日本、シンガポールの4カ国において、各国で時価総額上位25社を対象に実施した。日本については、「インターネット接続があり、悪用されるリスクがある資産が12万件以上」という状況で、調査対象25社では平均4800件の資産がリスクにさらされているという。

日本企業の時価総額上位25社を調査したところ、悪用されるリスクのある資産が総計で12万件以上発見されたという
日本企業の時価総額上位25社を調査したところ、悪用されるリスクのある資産が総計で12万件以上発見されたという

 なお同社は、調査での「資産」(Assets)の定義を、「インターネットまたはイントラネットに接続されているデバイスのドメイン名、サブドメインもしくはIPアドレス、さらに/またはそれらの組み合わせ」としており、一般的な例としてはウェブサーバー、ネームサーバー、IoTデバイス、ネットワークプリンターなどとしている。

インターネット上に暴露され価値のある「資産」は全て攻撃対象になり得ることからアタックサーフェスに含まれる一方、アタックサーフェス自体は企業の資産と見なされない通信ポートなども含まれるという
インターネット上に暴露され価値のある「資産」は全て攻撃対象になり得ることからアタックサーフェスに含まれる一方、アタックサーフェス自体は企業の資産と見なされない通信ポートなども含まれるという

 また、こうした文脈でよく使われる用語に「アタックサーフェス」(Attack Surface:攻撃対象領域)がある。これについて同社は、攻撃者の観点から企業ネットワークを見た際に、アタックサーフェスには企業の全資産が含まれ、各資産のアクティブなリスクニングサービス(オープンポート)も含まれると説明している。やや違いが分かりにくいが、外部からアクセス可能な通信ポートなどは攻撃対象となるためアタックサーフェスに含まれるが、それ自体はあくまでもインターフェースでしかなく、企業独自の価値などが含まれるものではないため、「資産」としては考えないということだと理解すれば良さそうだ。基本的に、ここでいう「資産」はアタックサーフェスに含まれており、より限定的な概念となる。

 日本企業のサイバー攻撃対策をどう講じていくべきかという観点から説明した米Tenableのチーフ セキュリティ ストラテジストを務めるNathan Wenzler氏は、サイバーセキュリティ対策の第一目標として所有資産の特定を挙げ、「存在を確認できなければ、保護することができない」と指摘した。さらに、多くの企業がインターネット上に存在する自社の資産を的確に把握できていない「可視性の断絶」という問題が存在することも指摘した。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

マイナンバーカードの利用状況を教えてください

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]