ゼロデイ脆弱性については過大に喧伝されている。ウェブサイトCVE Details(英語ページ) によれば、全ての既知のプラットフォームで確認された全ての脆弱性の脆弱性スコアは平均6.8である。CVEのデータベースに登録されている80,000件超の既知の脆弱性のうち、深刻度が重度と分類されるものは12,000件(約15%)である。ただし、これらの脆弱性がさまざまなクライアントやサーバー側アプリケーション(もちろん、Adobe Flashも含めて)に存在することを忘れてはならない。
企業側の視点から言えば、重度の脆弱性に対応することは最優先の課題である。経営状態の良い企業では対策が取られる。重度の脆弱性は注目を集めるが、それだけに現場ですぐにパッチされる。しかし、企業のアタック・サーフェス(攻撃対象領域)は脆弱性だけではない。おそらく最高情報セキュリティ責任者(CISO)にとっては、社内ネットワークの設定ミスや未パッチの社内システムよりもフィッシング詐欺やアップストリーム攻撃のほうが心配だろう。
IT管理者としては、インフラの管理が最も大きな関心事である。もちろん、重度の脆弱性が新たに発覚したときにはトリアージを行うはずである。では、それ以外に何をするか? ネットワーク上のあらゆるシステムで実行される全てのソフトウェアに、リリースされたパッチをいちいち当てていくのはとうてい不可能である。そのため、どうせパッチ処理を行うなら、管理者は軽度の脆弱性を定期パッチ対応で修正していくことを選ぶ。
脆弱性が見つかるたびに、いちいちその意味を判断するための時間を割くというのは、ほとんどの管理者にとって無理な注文である。したがって多くの場合、管理者たちは全く気にかけない。パッチを適用しようとするとき、管理者たちはしばしば次の問いを立てる。
- システムはどれだけ危険に曝されているか?
- このパッチによって他の領域が損傷を受けるか?
- この脆弱性が何を意味するかが自分にも分かるか?
F-Secure Radarによる脆弱性管理サービスを利用して当社顧客層における脆弱性トレンドを分析した結果が以下の通りである。
重度の脆弱性は稀もしくは皆無であった。我々が発見した未パッチの脆弱性の大多数は、深刻度が軽度または中等度であった。これらの脆弱性のなかで注目すべきは、TLS/SSLおよびOpenSSHの設定ミスが多いことである。もっとも、それらの設定ミスはラベル付けされたものだが、顧客やパートナー、あるいは自社内サービスとの相互運用性を確保するためにもともとそのように設定されている可能性もある。
当社のCISOのオフィスに勤務する情報セキュリティ・マネージャーは、このグラフを見ながら、これが当社の状況を示しているのだとすれば夜はぐっすり眠れると言った。
これについては、このビデオで当社技術支援部門に所属するAndyとSeanがもっと詳しく語っている。(英語のみ)
この記事は当社の最新版レポートに収められています。
以下フォームより登録のうえ「F-Secure サイバーセキュリティの状況 2017年度版」E-BOOKをダウンロードしてください。
[fsecure-eloqua name=”F-Secure%20%E3%82%B5%E3%82%A4%E3%83%90%E3%83%BC%20%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%20%E3%81%AE%E7%8A%B6%E6%B3%81″ url=”http://images.news.f-secure.com/Web/FSecure/%7B7fa4d84c-eba9-49ad-9584-a4013a24daec%7D_F-Secure_State_of_Cyber_Security_2017.pdf” description=”F-Secure%20%E3%82%B5%E3%82%A4%E3%83%90%E3%83%BC%20%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%20%E3%81%AE%E7%8A%B6%E6%B3%81″]
カテゴリ