社内の脆弱性を漏れなく可視化するには?リスクをスコアリングして標的型攻撃に備える
記事をお気に入りリストに登録することができます。
サイバー攻撃の手口は、日々巧妙化している。多くの企業は、潜在的な脅威を感じつつも、その対策に苦慮しているだろう。セキュリティ対策で重要なのは、「継続した監視」を行うことだ。そのためには、脆弱性とリスク管理に特化した、包括的ソリューションが必要になる。では、具体的にどのような観点からソリューションを選択すればよいのだろうか。
表面化している脆弱性は氷山の一角に過ぎない
連日のように報道される脆弱性発見のニュース。その対象は、産業制御システムからOS、さらに特定のアプリケーションまで幅広い。しかし、専門家は「表面化している脆弱性は、氷山の一角だ。多くの企業はシステムに存在した脆弱性が攻撃されたことを公表しない」と指摘する。企業の脆弱性に対する関心度は高まっている。とある調査によると、セキュリティ対策で優先的に投資を考えている脅威の問いで1位となったのは「脆弱性」で、以下「改ざん」「サイバー攻撃」であったという。
企業が直面する脆弱性は、2種類に大別できる。1つはソフトウェアやハードウェアなど、物理的な欠陥による脆弱性、もう1つはITシステム全体が正しく運用されておらず、結果的にセキュリティ・レベルが低下する脆弱性である。言うまでもなく、脆弱性が悪用されると、不正アクセスや情報漏えい、成り済ましやWebサイト改ざんなどの被害に遭う。
こうした脆弱性に対しては、ソフトウェア/ハードウェア・ベンダーが提供する修正プログラム(セキュリティ・パッチ)を適用することが大前提である。しかし、脆弱性対策は、これだけでは不十分だ。なぜなら、セキュリティ・パッチはリスクが顕在化したものに対する対策であり、潜在的なリスクへの対策にはなり得ないからである。
また、ヒューマンエラーも、脆弱性対策の大きな足かせとなっている。複数のソフトウェアやハードウェアの脆弱性情報に日々さらされているIT部門は、こうした情報をもれなく入手し、優先順位を決めて的確に対処しなければならない。しかし、脆弱性対応のプライオリティを誤り、結果的に深刻な脆弱性を放置しているケースも多い。
今すぐビジネス+IT会員にご登録ください。
すべて無料!ビジネスやITに役立つメリット満載!
-
ここでしか見られない
1万本超のオリジナル記事が無料で閲覧可能
-
多角的にニュース理解
各界の専門家がコメンテーターとして活躍中!
-
スグ役立つ会員特典
資料、デモ動画などを無料で閲覧可能!セミナーにご招待
-
レコメンド機能
あなたに合わせた記事表示!メールマガジンで新着通知
関連タグ
