ゼットスケーラー、企業の攻撃対象領域の状況に関するレポート「Exposed」を発表

＜主な所見＞

〇1,500社の企業の攻撃対象領域を分析した結果、202,000件以上のCVE（共通脆弱性識別子）を特定。うち49%が、深刻度が「極めて高い」または「高い」CVE。

〇同1,500の約400,000台のサーバーがインターネット上に露出しており、発見可能かつ対応プロトコルの47%が古く、脆弱であることが判明。

〇パブリッククラウドは、特に露出リスクが高く、Amazon Web Services（AWS）、Microsoft Azure CloudおよびGoogle Cloud Platform（GCP）全体で60,500件以上のインスタンスが露出。

　クラウドセキュリティ業界を牽引するZscaler（ https://www.zscaler.jp/）（本社:米国カリフォルニア州、以下 ゼットスケーラー）は、本日、企業の攻撃対象領域の状況に関する業界初のグローバルレポート「Exposed（ https://info.zscaler.com/resources-ebooks-global-corporate-network-attack-surface-report-jp）」（日本語翻訳版）を発表しました。本レポートは、2020年2月から2021年4月までのデータを基に、史上初めて新型コロナウイルス感染症のパンデミック禍における攻撃対象領域の露出による影響に注目。企業がテレワークの選択肢を増やし始めたことで、分散型ワークフォースと同時に攻撃対象領域も拡大したことを述べています。パブリッククラウドサービスや脆弱な法人向けVPN（ https://info.zscaler.com/resource-vpn-risk-report-jp）の利用が増えていることも重なり、ゼロトラストのセキュリティを取り入れていない大企業のネットワーク侵入攻撃に対する脆弱性が上がりました。「Exposed」は、地域や会社規模ごとに攻撃対象領域の主な傾向を特定すると共に、パブリッククラウドにおける露出、マルウェア、ランサムウェアおよびデータ侵害に最も脆弱な業界に注目しています。

　ゼットスケーラーの新興テクノロジー担当バイスプレジデントであるネイサン・ハウ（Nathan Howe）は次のように述べています。

　「現代は膨大な量の情報が共有されており、そのすべてが実質的に攻撃対象領域であることが大きな懸念になっています。アクセス可能なすべてのものが、権限のないユーザーや不正なユーザーに悪用される可能性があり、自社ネットワークの露出を完全に認識・制御できていない企業は新たなリスクが発生しているかもしれません。今回のレポートは、インターネット側から見た企業の情報環境の実態を伝え、リスクを緩和するための有益な情報を提供するために作成されました。個々の攻撃対象領域について理解し、ゼロトラストアーキテクチャ等、適切なセキュリティ対策を展開することで、企業は自社のアプリケーションインフラ内で、攻撃者によるデータの窃盗、システムの妨害、またはネットワークを人質にした身代金要求を許す脆弱性が繰り返し発生することを今までよりも適切に防ぐことが可能となります。」

　攻撃対象領域の脆弱性はあらゆる規模の組織に影響しますが、従業員数20,000人以上のグローバルな大企業では、ワークフォースやインフラが分散化し、管理が必要なアプリケーション数が増えることから、さらに脆弱性が上がります。問題の規模を適切に理解するため、ゼットスケーラーは53か国を対象に、これらの地域を分かりやすく、アメリカ、EMEA（ヨーロッパ・中東・アフリカ）およびAPAC（アジア太平洋）の3つの地域に分類し、各地域の組織について分析しました。