日経225銘柄企業でさえ、脆弱性の「抜け穴」がある

 サイバー攻撃など情報セキュリティ上の脅威は、悪質化、巧妙化の度合いをますます強めている。特に最近は、ターゲットとする組織からの金銭の窃取や活動の妨害といった明確な目的を持った攻撃がほとんどのため、企業に及ぶ被害が甚大になる傾向がある。

 しかし、その攻撃のアプローチについて見てみると、大半は、以前から広く用いられてきたOSや各種アプリケーションなどシステムがはらむ「脆弱性」が攻撃の糸口として悪用されている。要するに、本来、システム運用の基本中の基本であるはずの、「脆弱性という穴をしっかりと塞ぐ」という対応が十分になされていないという状況が、多くの企業において厳然としてあり、そこが攻撃者にとって狙い目になっているのだ。

 これに関して、脆弱性対策の領域をリードする世界的なセキュリティベンダーとして知られ、ガートナーのマジック・クアドラントのSIEM部門でリーダー企業に選定されたラピッドセブンは、日経225銘柄企業の2019年第2四半期におけるインターネットセキュリティの現状を調査している。調査方法としては、各企業のインターネット接続されたサービスに外部から調査して、弱点の所在などの確認を行うというものだ。「エクスポージャー」とは「露出部分」を意味し、外部から誰でも確認できる箇所で、同社はもちろん合法的な形で調査を行っている。

 同社の調査では、日経225銘柄企業でさえ、脆弱性の適切な管理がなされていない事実が浮き彫りにされている。日経225銘柄企業といえば誰もが認める優良企業。ITやセキュリティ領域にも投資や人材の確保を相応に行い得るキャパシティを持っているはずなのに、「抜け穴」がそのままになっていて、セキュリティ上の様々なリスクを抱えているという結果は衝撃的だ。

 以下では、調査結果の詳細を紹介すると同時に、そこで明らかとなった具体的なリスクと対策について解説する。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。