(この記事は米国 Tech Page One ブログの抄訳です。オリジナルはこちらからご覧いただけます。)

調査によると、ソフトウェアをセキュリティパッチできちんとアップデートしないことが、最大の脅威になるとのことです。

Ritika Puri - Tech Page One 2014年4月14日

ほとんどの小規模企業は、「サイバー盗難に脆い」という実態を認識できていませんが、現に、米国経済に及ぼす被害額は年間 1,000 億ドルとも言われています。

これは、サイバー犯罪者が洗練されたテクノロジーを使いこなし、たとえ最先端の保護対策を講じている企業であっても、出し抜くことができるからです。


脆弱性インテリジェンスソリューションを提供している Secunia 社の Morten Stengaard 氏によると、経営者達は往々にして、脆弱性がどんな問題をもたらし、実装すべき最善のソリューションが何であるか理解できていない、と言います。

「経営者達は往々にして、脆弱性がどんな問題をもたらし、実装すべき最善のソリューションが何なのか理解できていない」と、世界最大の脆弱性データベースを有し、脆弱性インテリジェンスソリューションを提供している Secunia 社の CTO、Morten Stengaard 氏は説明します。

ソフトウェアの脆弱性を評価することは、セキュリティの盲点に対処する最初の重要なステップとなります。経営者と IT プロフェッショナルは、昔から変わらぬいくつかの兆候を監視することで、防護態勢を整えることが可能です。

最大の脅威

「Secunia 社は 2002 年から調査を続けていますが、これを見ると、刻々と変わりゆくセキュリティ動向をしっかり捉えることができます」 (Stengaard 氏)

同氏は先日、Secunia 社の『2014 Vulnerability Review』にまとめた調査結果を発表しており、サードパーティ製ソフトウェアが企業と個人にとって最大の脅威であると指摘しました。

Stengaard 氏とそのチームは、最も普及しているトップ 50 の PC プログラムを検証したところ、合計 1,208 件もの脆弱性が見つかったと報告しています。

「これらの 50 個には、PDF リーダーやインターネットブラウザなど、あらゆる規模の企業 IT インフラに浸透しているプログラムが含まれます。」

 

ソフトウェアパッチ

サイバー攻撃からネットワークを守るとき、企業にとって最も効果的な方法はソフトウェアパッチである、と同レポートは結論しています。このプロセスで重視されるのがスピードです。

「そのため、『Vulnerability Review』では、脆弱性が公に知れたとき、ソフトウェアベンダーがどれくらい素早くパッチをユーザに提供できるのかも調査しました。朗報は、大半の脆弱性で、パッチが極めて迅速に作成されていたことです。」 (Stengaard 氏)

Secunia 社のレポートでは、トップ 50 アプリケーションのうち、昨年発見された脆弱性の 86% は、セキュリティアップデートが直ちに利用可能になったと報告しています。

「これなら、組織はリスクを即座に回避できるでしょう。」 (Stengaard 氏)

同氏によると、課題は、経営者達がこの必要性を見落としがちであることです。

「多くの小規模企業は、ウィルス対策、データのバックアップ、ファイアウォールさえ揃っていれば、資産は万全に守られると考えています。確かにこれらはすべて、ネットワークを守る助けとなりますが、十分とは言えません。」 (Stengaard 氏)

企業には、パッチの必要性に即応するための、決まった手順が必要です。

「脆弱性が発見されてから、ソフトウェアパッチが実装されるまでの時間は、依然として長引くことがあります。それは、時間的な制約があるためか、そもそも問題に気付いていない可能性があります。」と指摘するのは、Thycotic Software 社の情報セキュリティエンジニア、Kevin Jones 氏です。「ソフトウェアパッチにこまめに対応し、インフラストラクチャを常に最新の状態に保ち、他のソリューション群と連携させることが最強の防衛策となります。」

 

チームへの権限移譲

セキュリティの方程式において、ソフトウェアは単なる 1つの項にしか過ぎません。経営者は、社員に然るべき権限を与え、潜在的なセキュリティ侵害に対処させることが大切です。

検査機関の RTTS 社でテストエンジニアを務める Laura Poggi 氏は、次のように説明します。「知識豊富な社員の採用は、常に最大の防御となります。設計者、エンジニア、プログラマが脆弱性についてきちんと理解したうえで、社内のセキュリティ規程を一から整備できるようになることが重要です。」

経営者は、技術部門以外の部署にも、教育の機会を与える必要があります。

「有能なテクニカルチームの配属に加え、カスタマーサービススタッフへの注意喚起も必要です。通話相手の身元が確認出来ない限り、どんな顧客情報も漏らしてはなりません。」 (Poggi 氏)

このプロセスでは、ソフトウェアへのアクセス権も重要になってくる、と Stengaard 氏が指摘します。

「私達は企業教育を続け、また、個人ユーザには、使いやすい無償セキュリティ対策を提供する必要があります。」 (Stengaard 氏)

きちんと教育されたチームなら、適切なセキュリティ管理システムを運用できるはずです。

「規模の大小を問わずどんな企業も、こうしたシステムが必要です。自社インフラにあるすべての脆弱なプログラムに、手動でいちいちパッチを適用し、常に最新の状態を保つことなどできません。」 (Stengaard 氏)


 

 

 

デルのセキュリティソリューションに関するお問い合せは
こちらからご連絡ください。