機械制御/振動騒音
IR情報 会社情報

マンデーモーニングクォーターバック:データ漏洩


ARBOR
David DeSanto氏、2016年2月8日
セキュリティ
セキュリティパフォーマンステスト脆弱性スキャンセキュリティヒント脅威モデリングペネトレーションテストペンテストサイバーマンデーサイバーセキュリティ企業
 


ARBOR  

この時期にサンフランシスコ・ベイエリアに住んでいるということは、貴重な体験です。なにしろ、オフィスからたった数マイル先で、「第50回スーパーボウル」が開催されているのですから。食料品店に行っても、gas (ガソリン) (あるいはヨーロッパやアジアの「アメリカンフットボール」仲間なら「petrol」という言葉を使うでしょう) を買いに行っても、近くのお気に入りのレストランに行っても、スーパーボウルの広告、訪れるファン、そしてひどい交通渋滞に必ず巻き込まれます。フィラデルフィアイーグルスのファンである私は、今週末どこかのチームを特別に応援することはありませんが、Chip Kelly氏がヘッドコーチに就任したサンフランシスコフォーティナイナーズには頑張って欲しいと思います。とにかく…
フットボールファンにとってのゲーム後の楽しみといえば、「マンデーモーニングクォーターバック」になることです。つまり、自分の (または他の誰かの) 好きなチームについて、「自分がコーチだったら…」などと解説するのです。データ漏洩の場合にも似たようなことが起こります。後知恵は常に正しいのです。個別のデータ漏洩を問題にしたり、延々と批判を繰り返したり、「ここが問題の原因だった」とか「これが失敗の徴候だったのに見逃した」とか言ったりせずに、データ漏洩全般と、そのすべてに結び付く共通性に、注目してみましょう。また、私たちマンデーモーニングクォーターバックがデータ漏洩を切り抜けるのに役立つ、他のいくつかの興味深いデータポイントについても話してみましょう。それでは早速、データ漏洩の可能性を下げるための(ほかのやり方もあるかもしれませんが)私流の3つのポイントを紹介します。

 

1) ネットワークをテストする
マーケティングデータシートは信用しません。自分自身でネットワークのセキュリティを検証し、セキュリティカバレッジホールを製品購入元のセキュリティベンダーに報告する必要があります。セキュリティ製品のセキュリティ効果の問題は、新しいトピックではありません。独立した第三者試験機関であるICSA Labsは、テスト依頼を受けた製品のパフォーマンスを20年間にわたってまとめた『ICSA Labs Product Assurance Report』という調査報告書を公開しました。この報告書でICSA Labsは、セキュリティ製品が初めて合格するまでに平均2~4のテストサイクルがかかったと説明しています。また、初期合格率はわずか4 %でした。テストサイクルを増やしてもテスト要件を満たせない製品もありました。合格率は、テクノロジにより大きく異なりますが、全体の平均では、テストを受けた製品のICSA Labs認証取得率は82 %でした。つまり、積極的に検出しようとしないかぎり気付くことのないセキュリティカバレッジホールが残ったままで、サービスの提供を受けている可能性もあるということです。

 

2) システムにパッチを適用する
すべてのデータ漏洩で、もっぱら最新かつ最大の脆弱性 (つまりゼロデイ) が利用されているわけではありません。新しいセキュリティ脆弱性以外にも目を向けることが重要です。『Verizon 2015 Data Breach Investigations Report (DBIR)』では、攻撃が既知の脆弱性を利用していた場合、侵害され悪用された脆弱性の99.9 %は、関連するCVE (共通脆弱性識別子) のID公開後1年以上経過しているものでした。ここから、既存のインフラストラクチャ (エンドポイントとネットワークデバイスの両方) に適切なタイミングでパッチやアップデートをインストールするためのセキュリティポリシーおよび手続きを確立する必要性が、明らかになります。システムにパッチを適切に適用していれば、攻撃者が利用できる脅威ランドスケープは限定されます。

 

3) 第三者の検証を利用する
セキュリティまたはセキュリティ運営の専門チームがいたとしても、第三者に環境を検証してもらうことで、安全性はさらに高まります。私が医療機関で働いていたときは、HIPPA要件に則ってこれを6か月ごとに行っていました。これは、問題が大事になる前に対処するのに役立っていました。Spirent SecurityLabsは、Web脆弱性評価からネットワークのペネトレーションテストまで、顧客のニーズを満たす幅広いセキュリティコンサルティングサービスを提供します。このチームのサービスによって、法的責任が生じる前に社内チームで問題を解決できるようにサポートします。

 

まとめ
データ漏洩を阻止する方法は、組織とインターネットを接続するネットワークケーブルを切断する以外ありません。しかし、私たちの暮らす世界が企業に求めているものを考えれば、これは不可能です。そのため、次善の策として、自分自身とネットワークが、攻撃者にとって手強い存在になることが重要です。

  • 週刊誌のトップを飾る次の犠牲者にならないように、または組織を保護する適切なセキュリティポリシーがない理由の説明を役員から求められないように、事前の対策を講じる。
  • ネットワークをテストする。
  • システムにパッチを適用する。
  • 第三者の検証を利用する。

ご自身と組織のセキュリティを強化して、セキュリティ問題に備えてください。


参考資料:  

原文はこちらです。

PAGE TOP