企業システムの44%は内部からの攻撃には無防備、NRIセキュア調査
NRIセキュアテクノロジーズ コンサルティング事業本部の西田助宏氏 |
NRIセキュアテクノロジーズ株式会社(NRIセキュア)は28日、同社が提供する情報セキュリティ対策サービスを通じて得られたデータからまとめた「サイバーセキュリティ 傾向分析レポート2011」を公開した。レポートでは、企業の情報システムの44%がファイアウォールの内側に侵入された場合の攻撃には無防備であるといった分析を示し、企業のセキュリティ対策への問題提起を行っている。
「サイバーセキュリティ 傾向分析レポート2011」は、NRIセキュアが提供している情報セキュリティ対策サービス「マネージドセキュリティサービス」「セキュリティ診断サービス」から得られたデータなどを基に、2010年度(2010年4月~2011年3月)の企業システムに対する攻撃状況や防御状況をまとめ、対策を提示している。
企業システムに対する攻撃の状況としては、2003年に流行した「SQL Slammer」、2009年に流行した「Conficker」などが依然として活動を続けており、2010年7月ごろからは中国を発信元とするSIP宛の通信が増加したが、これらの攻撃はファイアウォールによって防がれている。
一方で、多くの企業のセキュリティ対策はファイアウォールに依存していると指摘。NRIセキュアのプラットフォーム診断サービスで、サーバーが「危険」と判断された割合はファイアウォール経由では1%だが、ファイアウォールを経由しない場合では44%に達したというデータを紹介。ウェブサイトの閲覧で感染するマルウェアなど、一度ファイアウォールの内側への侵入を許してしまうと、被害が拡大する可能性があるとして、対策の実施を呼びかけている。
NRIセキュア コンサルティング事業本部の西田助宏氏は、最近の事例としてソニーのグループ企業に対して執拗な攻撃が繰り返されていることを挙げ、脆弱性を突く攻撃や既存の攻撃手法を組み合わせ、ソーシャルエンジニアリングにより特定企業や個人を執拗に攻撃する「APT(Advanced Persistent Threat)」が増えていると説明。企業側の対策としては、OSやソフトウェアのアップデートといった基本的な対策はもちろん必要だが、2011年3月に発生した米RSAに対する攻撃では未知の脆弱性が攻撃に用いられており、こうした「基本的な対策だけでは十分でない攻撃」も起こりうることを認識する必要があると指摘。実際の攻撃を模した訓練を実施するなどして、従業員の意識を変えていくことが重要だとした。
44%のシステムがファイアウォールの内側からの攻撃には脆弱 | 特定企業や個人を執拗に攻撃する「APT」が増加している |
ソニーグループを狙った一連の攻撃 | 攻撃があることを前提とした訓練の必要性を呼びかけている |
また、ウェブアプリケーション診断サービスの実施結果からは、SQLインジェクションやクロスサイトスクリプティングなどが発見される割合は年々減ってきているものの、依然として31%のサイトが「危険」と判定され、重要情報が取得可能であるなどの問題が発見されたというデータを紹介。特に、これまで診断を受けた経験の無い企業では「危険」と判定された割合は40%に達するなど、企業間に情報セキュリティ「格差」が存在すると指摘している。
31%のウェブサイトが「危険」と判定された | 診断経験の無い企業サイトでは「危険」の割合が40%に |
2010年度に国内で発生した事例では、アクセス解析サービスに改ざんが行われたことで、そのサービスを利用していた企業サイトもマルウェアの感染経路となってしまい、被害が拡大した例を紹介。自社のウェブサイトのセキュリティ対策が万全であったとしても、外部のサービスによりユーザーに被害を及ぼしてしまう可能性を認識する必要があるとして、自社のサイトに不正なコードが埋め込まれていないかを外部から常時監視するといった対策を提示している。
また、企業からの情報漏えいについては、アクセス権を持つユーザーによる内部犯行が最も対策が困難だと説明。不正行為の多くは、小さなルール違反から始まって徐々にエスカレートしていくことから、こうした行為のエスカレートを抑制していくことが必要で、業務外でのインターネット利用を抑制することも効果的な対策と考えられるとした。
レポートでは、3月11日に発生した東日本大震災前後における、企業内の従業員によるウェブアクセスの傾向分析を示し、ショッピングサイトへのアクセス割合が激減する一方、不動産サイトへのアクセスが増加するなど、業務外利用のアクセスが大半を占めている可能性があると指摘。明らかに業務上不要なウェブサイトへのアクセスは禁止し、判断が難しいウェブサイトへのアクセスは許可しつつ、そのログを詳細に取得することを対策として挙げている。
利用している外部サービスからユーザーに被害を及ぼす危険性も | 内部犯行の防止には行為のエスカレートを抑制することが重要と指摘 |
震災前後の企業からのウェブアクセス状況 | 企業システムに必要とされるセキュリティ戦略 |