(2011/06/28)
一度ファイアウォールの内側へ侵入を許すと、44%のシステムが無防備
~企業情報システムのセキュリティに関する分析結果(2011年版)を公開~
http://www.nri.co.jp/news/2011/110628.html
NRIセキュアテクノロジーズ株式会社(本社:東京都港区、代表取締役社長:増谷 洋、以下「NRIセキュア」)は、2010年度に提供した情報セキュリティ対策サービスを通じて得たデータから、「サイバーセキュリティ:傾向分析レポート2011」をまとめました。
本レポートでは、企業の情報システムの44%が、ファイアウォール※1の内側に侵入された場合の攻撃に対して無防備であることや、Webアプリケーション診断を初めて受診する企業のWebサイトの40%が、外部からの攻撃により重要情報の漏えい等を起こし得る危険な状態にあること等の問題提起をしています。
【2011年版レポートにおける分析結果のポイント】
・4割強のシステムで、ファイアウォールの“内側からの攻撃”に対する備えが不十分であることが判明
プラットフォーム診断の結果より、インターネットからの脅威に対し、ファイアウォールに大きく依存した対策を行っているシステムが多く、サーバ単体で見ると44%のシステムでは即座に攻撃可能な問題が存在していることが分かりました(図1)。仮にファイアウォールの内側への侵入を許してしまうと、他のサーバを攻撃され、あらゆる情報を詐取される等の被害に繋がる恐れのあるシステムが約半数存在することになります。
・Webアプリケーション診断経験がない企業の4割のWebサイトが危険な状態
Webアプリケーション診断の結果より、徐々に危険なWebサイトの割合は減少しつつあるものの、未だ31%のWebサイトにおいて重要情報を奪取可能などの重大な問題が存在することを確認しています(図2)。特にWebアプリケーション診断の受診経験がない企業が運営するWebサイトにおいては、40%のWebサイトで重大な問題が存在することを確認しており(図3)、企業間の情報セキュリティ「格差」が存在していると言えます。
・国内の主要サイトにおいてもマルウェア※2の検出を確認
昨年マッシュアップ※3を用いて構成されたWebサイトにおいて、あるアクセス解析サービスを感染経路としたマルウェアによる被害が拡大しました(図4)。たとえ自社のWebサイトのセキュリティ対策自体が完全であったとしても、Webサイトを利用するユーザに被害を及ぼしてしまう可能性があることを認識する必要があります。マネージドセキュリティサービスで管理するウイルスチェックサーバのログより、Webアクセス時にマルウェアを検出したURLのドメイン※4の30%が.jpドメインのWebサイトであることを確認していますが(図5)、その中には国内の上場企業が保有するドメインが散見されました。
・エスカレートする内部犯行を防ぐには
故意の情報漏洩が発生する要因を犯罪学の観点から考察すると、情報資産への厳格なアクセスコントロールに加え、業務外でのインターネット利用を抑制することが効果的な対策であると考えられます。3/11に発生した東日本大震災前後の企業内の従業員によるWebアクセスから、業務外利用でのWebアクセスが大半を占めている可能性を窺うことができます(図6)。明らかに業務上不要なWebサイトへのアクセスは禁止し、判断が難しいWebサイトへのアクセスは許可しつつ、そのログを詳細に取得することを対策として挙げることができます。
セキュリティ診断により問題が発見された情報システムについては、NRIセキュアから診断結果とともに具体的な対策案を提示し、早急な対応が行われています。悪質化するサイバー攻撃から、企業のシステムを守るためには、インターネット境界部分やPC端末でのシステム的な対策の徹底もさることながら、従業員の意識を変えるための訓練や演習を含めた、総合的なセキュリティ対策が必要です。
「サイバーセキュリティ 傾向分析レポート2011」は下記Webサイトからご覧ください。
http://www.nri-secure.co.jp/news/2011/0628_report.html
※1 ファイアウォール:企業等の組織内のコンピュータネットワークへインターネットを介して外部から侵入されるのを防ぐシステム
※2 マルウェア:コンピュータウィルスやワームなど、悪意のある不正なソフトウェアの総称
※3 マッシュアップ:複数のWebサービスのAPI(Application Programming Interface)を組み合わせて、新たなWebサイトを構築する手法
※4 ドメイン:インターネット上に存在するコンピュータやネットワークを識別するための住所のようなもの