海の向こうの“セキュリティ”
ソフトウェアの更新は定期的な方が効果的 ほか
2017年3月7日 06:00
ソフトウェアの更新は定期的な方が効果的
Cisco Systemsは、2016年のサイバーセキュリティの脅威と動向についてまとめた報告書「Cisco 2017 Annual Cybersecurity Report(ACR)」を公開しました。今回はこの中からいくつかのポイントをピックアップして紹介します。
まず注目すべきは、ソフトウェアの更新の実施状況に関する分析結果です。報告書によると、更新が定期的な方が、ユーザーはより速やかに更新する傾向にあるそうです。この結果自体は意外ではなく、予想通りではありますが、具体的にAdobe Flash、Google Chrome、Firefox、Silverlight、Javaの更新状況を調べた上で結論付けているのは重要です。ただし、一般的には自動更新の仕組み(更新を拒否しやすいか否か)やソフトウェア自体の使用頻度(あまり使われていないものは更新があっても気付きにくい)にも依存しますし、調査対象の5つのソフトウェアのみで判断するのは少々乱暴にも見えますが、それでも今回の分析結果が、今後のソフトウェア更新のあり方についてベンダーが再考するきっかけになることを期待したいです。
次に、世界13カ国の計2900名を超えるCSOやセキュリティ運用マネージャーに対し、所属組織のセキュリティ運用の実態を調査した「Cisco 2017 Security Capabilities Benchmark Study」の結果を紹介します。
1)サイバー攻撃による実害
攻撃により商機を失ったと回答したのは全体の23%。そのうち42%が、20%以上の損失があったと回答しています(図56)。
また、収益が減ったと回答したのは29%。そのうち38%が、20%以上の損失があったとしています(図57)。
顧客を失ったと回答したのは22%、そのうち39%が、20%以上の損失があったとしています(図58)。
2)多くのセキュリティ警告が未対応
担当者の能力やツールの不足、自動化システムが導入されていないなど、さまざまな理由により、セキュリティ警告のうち調査できているのは56%のみで、残り44%は事実上無視されているとの結果が出ています。また、調査した警告のうち、正規の(≒誤警告ではない)ものは28%であり、さらにそのうち修正されたものは46%にとどまり、残り54%は修正されないままになっているそうです。これらをまとめたのが以下の図です(図52)。
これはすなわち、例えば5000件のセキュリティ警告があった場合、
・調査されているのは2800件(56%)、残り2200件(44%)は未調査
・調査されたもののうち、正規のものは784件(28%)、残り2016件(72%)は誤警告
・正規の警告のうち、修正されたのは360件(46%)、残り424件(54%)は未修正
となることを意味しています。
とても充実した盛りだくさんな内容で、セキュリティにかかわる業務をされている方であれば一度は読んでいただきたい報告書なのですが、Appendixを含めると100ページを超える「大作」であるため、なかなか手が伸びないという方も少なくないと思います。そのような方も、できれば「Executive Summary」または「Major Findings」だけでも目を通してみてください。主要なポイントを簡潔にまとめてあります。また、図を見るだけでもある程度は内容がつかめるでしょう。なお、報告書内の図はそれぞれPNG形式の画像ファイルで個別にダウンロードできるようになっています。
URL
- Cisco Blog(2017年1月31日付記事)
Staying Ahead of the Evolving Threat - Announcing the Cisco 2017 Annual Cybersecurity Report - https://blogs.cisco.com/security/announcing-the-cisco-2017-annual-cybersecurity-report
- Cisco Blog(2017年2月6日付記事)
Cisco 2017 Annual Cybersecurity Report: The Hidden Danger of Uninvestigated Threats - https://blogs.cisco.com/security/cisco-2017-annual-cybersecurity-report-the-hidden-danger-of-uninvestigated-threats
- Cisco 2017 Annual Cybersecurity Report Graphics
- http://www.cisco.com/c/en/us/products/security/security-images-acr2017.html
ENISAが発表、2016年のサイバーセキュリティ脅威トップ15
欧州ネットワーク情報セキュリティ庁(ENISA:European Union Agency for Network and Information Security)は、2016年のサイバーセキュリティの脅威と動向についてまとめた報告書「ENISA Threat Landscape Report 2016(ETL 2016)」を公開しました。調査・分析は、公になっている資料(open source material)に基づいています。
報告書では、2016年の特徴として攻撃者側が効率的に収益をあげるための工夫を凝らしている実態を挙げ、その状況は今も継続しているとしています。また、2016年には防御側において、法執行機関とセキュリティベンダーなどの連携による犯罪行為の撲滅活動をはじめ、人材育成の面などで成果を上げつつあるものの、マルウェアに感染したIoTデバイスによる大規模DDoS攻撃やランサムウェア被害者が高確率で身代金を支払ってしまっている現実、米大統領選挙に対する干渉行為など、攻撃者側が一歩先んじている状況を指摘しています。
注目すべきは、上位15の脅威とその傾向をまとめた以下の図です。
注意しなければならないのは、脅威のレベルと各々の脅威の傾向は別であるという点です。例えば、「Botnets」は2015年に比べて脅威レベルは下がっているものの増加傾向にあるのに対し、逆に「Spam」は脅威レベルが上がっていますが、減少傾向にあります。
報告書ではこれらの15の脅威についてそれぞれ数ページを割いて解説と対策を掲載していますが、ここでは上位3つについて、いくつかのポイントを紹介します。
1)マルウェア
いわゆる「亜種」が次々と発生することから、マルウェアのハッシュ値の平均「寿命」は1時間以下であり、ウイルス検知ソフトなどによる検知が一段と難しくなっている点や、「Malware-as-a-service」などを紹介しています。マルウェア対策としては、マルウェアの検知を単一のエンドポイント製品に頼るのでなく、サーバーやネットワーク機器、モバイル機器など、使用しているすべてのプラットフォームに導入するなど、7項目を紹介しています。
2)ウェブベースの攻撃
これはウェブサーバー/クライアントの双方に対する攻撃をひとまとめにしたものです。サーバーに対する攻撃の原因としては、WordPressやJoomla!など、CMS(content management system)およびそのプラグインの脆弱性だけでなく、脆弱性を修正するための更新を互換性への懸念から行おうとしない、またはそもそも設定が不適切といった運用の問題などにも言及しています。クライアントへの攻撃については、ブラウザー自体の脆弱性だけでなく、プラグインの脆弱性についても注目しています。Adobe SystemsやAppleのプラグインの脆弱性がそれぞれ3倍以上増えているのに対し、Google ChromeやActiveXのプラグインについてはほぼ半減しているそうです。また、サーバーとクライアントの両方にかかわるものとして、SSL/TLSの強度の問題などにも言及しています。
対策としては、ソフトウェアの振る舞いの監視やフィルタリングなど、7項目を紹介しています。
3)ウェブアプリケーションへの攻撃
これは、上記「2)ウェブベースの攻撃」と重なる部分もありますが、ウェブアプリケーションやウェブサービスに対する攻撃で、例えば、Local File Inclusion、SQL injection、Cross Site Scripting(XSS)、Remote File Inclusion、PHP injection などが挙げられています。対策としては、アプリケーションの開発と運用に対するセキュリティポリシーの策定やWeb Application Firewall(WAF)の導入、入力値の確認、脆弱性診断など、7項目を紹介しています。
2016年の状況をまとめた報告書ですが、個々の脅威についての解説と対策は普遍性のある内容を含んでいるので、参考書のようにも使えるでしょう。うまく利用してみてください。
URL
- ENISA Threat Landscape 2016 report: cyber-threats becoming top priority
- https://www.enisa.europa.eu/news/enisa-news/enisa-threat-landscape-2016-report-cyber-threats-becoming-top-priority
山賀 正人
CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。