金融&IT業界の情報サイト
 
 


 
【IT業界ニュース】 >> 記事詳細

2017/07/26

【NRIセキュアテクノロジーズ】「サイバーセキュリティ傾向分析レポート2017」を発表~ “気軽なIT利用”が増大させるセキュリティリスク ~

| by:ウェブ管理者
NRIセキュアテクノロジーズ株式会社(本社:東京都千代田区、代表取締役社長:小田島 潤、以下「NRIセキュア」)は、顧客企業に提供した情報セキュリティ対策サービスを通じて蓄積したデータ※1を元に、最新の動向分析と推奨する対策を、「サイバーセキュリティ傾向分析レポート2017(以下「本レポート」)」としてまとめました。本レポートは、企業や公的機関の情報セキュリティ対策の推進を支援する目的で、2005年度以降毎年発表しており、今回で13回目となります。
今回のレポートで注目される点は、以下の3つです。


セキュリティ対策が十分でないIoT機器への攻撃が大幅に増加


NRIセキュアが提供するマネージドセキュリティサービスにおいて、2016年度中にファイアウォールでブロックした通信(全標本数22.6億件)のうち、48.1%(10.9億件)が遠隔操作に用いられるtelnet※2ポートへの通信でした。2015年度の1.7億件に比べると、約6.4倍に増加しました。
現在、多くの企業では、外部からtelnetポートへの通信を許可しないことが一般的です。それにも関わらず、上記の通信が急増した背景として、アクセス制限が行われていないWebカメラやルーターなどのIoT機器を探索し、侵入しようとする通信が増えたことが大きな要因と考えられます。気軽に使えるようになったこれらの機器が脆弱な状態にあると、DDoS攻撃※3の踏み台となるなど、悪用される可能性があります。
IoT機器の利用者は、使用前にアクセス制限や機器そのものの設定などを適切に行うことが推奨されます。また機器メーカーは、標準仕様で必要なセキュリティ機能を持たせることや、販売後においても脆弱性が発覚した時には、速やかに対応できる体制を整えることが必須になっていくと考えられます。


HTTPS通信(暗号化通信)への移行が加速する一方、新たな問題が浮上


「FNCセキュアインターネット接続サービス」において、Webアクセスに関するログ(調査対象企業数20社)を集計したところ、HTTPS通信の割合が2016年4月の19%程度から、2017年3月には40%にまで増えたことがわかりました。
従来HTTPSは、Webサイト内にあるログイン画面や個人情報など、機密性の高い情報を扱うページの暗号化のために利用されてきました。ところが昨今、大手インターネットサービス会社の全ページがHTTPSに移行されるなど、重要情報の有無に関わらず、サイト全体を暗号化する企業が増えています。
HTTPSが広く使われるようになったことにより、セキュリティ強化が期待される一方、暗号化された通信は通信経路上で内容の検査ができず、従来行われてきた通信経路上のセキュリティ対策ができなくなる問題が浮上しています。また、多くのクラウドサービスがHTTPS通信で暗号化されているために、サービスを利用する企業では、従業員の利用状況の可視化や統制がしづらくなるという問題も出てきています。HTTPS化の流れが進む中、企業はこの問題を認識し、HTTPS化に対応したセキュリティ対策の実施が求められます。


企業Webサイトのうち、4割が容易に攻撃可能な状態


世界中に点在している、顧客企業に関連するWebサイトを探索し、棚卸しするサービス「Webサイト群探索棚卸サービス GR360(ジーアール360)」で、NRIセキュアが2016年度に調査したWebサイト(全標本数4,039サイト)のうち、4割が容易に攻撃される可能性があることがわかりました。
古いバージョンのソフトウェアを使用し続けていたり、IDとパスワードの単純な認証だけで保護されているメンテナンス用インターフェースが外部に公開されていたりすると、そのWebサイトでは容易に攻撃が成立する可能性があります。これはマーケティングキャンペーンのサイトや、中小企業のコーポレートサイトに多くみられます。背景にはCMS※4を利用することで、専門的な知識をそれほど必要とせず、比較的容易にWebサイトを構築できる反面、セキュリティの堅牢化に関するノウハウが十分に提供されていないことが挙げられます。
企業全体のWebサイトのセキュリティ水準を維持するためには、まず、自社のWebサイトの存在をセキュリティの管轄部門が把握することが重要です。その上で、一元的な管理を行い、サイトの安全性が一定の水準を満たしているか検証することが望ましいと言えます。


原文はこちら
http://www.nri.com/jp/news/2017/170726_1.aspx

18:14 | IT:一般
 

【免責事項】
サイト掲載情報の正確性、および完全性については最善を尽くしておりますが、その内容を保証するものではございません。また利用者が当サイト、およびサイトに関連するコンテンツ、リンク先サイトにおける一切のサービス等を利用されたことに起因、または関連して生じた一切の損害(間接的、直接的を問わず)について、当社、当サイト、投稿者および情報提供者は一切の責任を負いません。

Copyright © 2010- GoodWay Inc. All rights reserved.