ニュース

「気軽なIT利用」がセキュリティリスクを増大――NRIセキュアが最新レポート発表

文◎村上麻里子(編集部) 2017.07.27

  • bookmark
  • Teitter
  • 印刷

NRIセキュアテクノロジーズ(以下、NRIセキュア)は2017年7月26日、「サイバーセキュリティ傾向分析レポート2017」を発表した。

同レポートは、企業などに提供している各種の情報セキュリティ対策サービスを通じて得たデータを基にサイバー攻撃に対する企業などの対策状況と脅威の現状を分析。その結果を踏まえ、企業などが実施すべき対策を提示したもの。05年度以降毎年発表しており、今年で13回目となる。

今回は16年4月から1年間にわたって集計が行われ、IoTやクラウド、CMS(Content Management System)など「気軽なIT利用」でセキュリティリスクが広がっていることが明らかになった。同日開催された「NRIメディアフォーラム」で、NRIセキュアテクノロジーズ サイバーセキュリティサービス事業本部サイバーセキュリティサービス開発部 上級セキュリティコンサルタントの内藤陽介氏が①IoT機器、②暗号化通信とクラウドサービス、③Webサイト、④メールについて現状と対策を説明した。

 
 NRIセキュアテクノロジーズ サイバーセキュリティサービス事業本部サイバーセキュリティサービス開発部 上級セキュリティコンサルタントの内藤陽介氏

1つめのIoT機器については、ファイアウォールでブロックした通信のうち48.1%がTELNETへの攻撃だった。15年度の21.0%から大幅に増加している。中国製のネットワークカメラなどIoT機器を標的とするマルウェア「Mirai」による攻撃が急増していることが原因だ。内藤氏は「多数の標的に対し、TELNETへのログインという初歩的な攻撃手法が成立することは、攻撃者にとって魅力的だ。IoT機器が格好の標的であることが再認識されており、異なる機器を狙った類似のマルウェアも出現している」と語った。

 
 IoT機器の脆弱性を狙ったマルウェアの攻撃が急増している

対策として、ユーザーがセキュリティに問題のない機器を選定したり、必要に応じてアクセス制限や機器の設定を変更すること。また、メーカーは販売後に脆弱性が見つかった場合に対応する専門組織「PSIRT(Product Security Incident Response Team)」の立ち上げなど双方の努力が必要とした。

2つめの暗号化通信については、従来はログイン画面や個人情報など機密性の高い情報を扱う画面に限られていたが、グーグルなどがHTTPS化したWebサイトを検索順位で加点対象としていることもあり、Yahoo!Japanなど大手サイトが常時SSL化を推進している。NRIセキュアによると、HTTP通信の割合は16年4月の19%から、17年3月は40%まで増えた。

このようにHTTPSが広く使われるようになったことで、通信経路上でセキュリティ対策が取りづらいという新たな課題が生まれている。

 
 HTTPS化により通信経路上でセキュリティ対策が取りづらいという課題も

また、Office 365やDropbox、Evernoteなどのクラウドサービス(SaaS)の普及が進んでいるが、管理部門が把握していない「シャドーIT」も深刻化している。

NRIセキュアの「企業における情報セキュリティ実態調査 2017」で「利用している」と回答した企業が40.4%なのに対し、各サービスへの1Mバイト以上の通信が1カ月間に1回以上あった企業の割合はOffice 365が61.0%、Dropboxが58.6%、Evernoteが46.3%だった。クラウドサービスは事業部門や個人が簡単に利用できるためにセキュリティ対策が後回しになり、結果的に会社の管理が及ばない「抜け穴」になることが問題だ。

これらの対策としては、HTTPS通信をいったんセキュリティ機器で復号し、再度暗号化を行ってWebサーバーと通信する「SSLインターセプト」、クラウドサービスの可視化・制御・セキュリティ保護を行う「CASB(Cloud Access Security Broker)」、クライアントの機能強化などがある。コストや互換性の問題から、「十分に検討したうえで、企業にニーズに合った対策を選ぶことが必要」(内藤氏)という。

スペシャルトピックスPR

sun1807
ribbon1809
sas1808

>> 今月の月刊テレコミュニケーション

月刊テレコミュニケーション【特集】IoTの大冒険! 海、山、体内へ
<海のIoT>ワイヤレスIoTで漁業は成長産業に/光無線で水中高速通信/オールジャパンで船舶IoT <山のIoT>LPWAがキラー技術に <体内のIoT>インプラント型無線センサーで生体IoTに新時代到来

◆[インタビュー] NTT西日本 小林充佳社長「地域に“変化”起こす先駆者へ」 ◆働き方改革とWeb会議 ◆過疎地の固定電話は「無線」で ◆NTTドコモのデータ分析の歴史 ほか 

>>詳しい目次を見る

ホワイトペーパー
yamaha_swx3100

スペシャルトピックス

ライトL3スイッチ「SWX3100-10G」行き詰まる小規模NWを変革しよう

高価なレイヤ3スイッチには手が出ないが……。そんな悩みに、新たな選択肢をヤマハが提供する。

IntelligentAVAIエンジンで未知の脅威も自動検知

ウォッチガードのUTMに、マシンラーニングでマルウェアを検知する「IntelligentAV」機能も加わった。

Gigamon通信事業者での採用実績多数!
セキュリティ機器コストも大幅削減

今注目のネットワークパケットブローカー。そのNo.1メーカーとは?

PRTG Network Monitorネットワーク監視を簡単スタート!

NW監視の重要性は分かっているが、人材も予算も不足――。そんな企業に知ってほしいのが「PRTG」だ。

Big Switch Networksウンザリする運用管理とサヨナラ

大量のスイッチを個別に設定・管理する従来型NW運用を、Big Switch NetworksのSDNで革新しよう!

ユニアデックス次世代のネットワーク運用とは?

先進企業はもう始めている「Big Cloud Fabric」によるネットワーク運用変革を事例に学ぶ。

リボン・コミュニケーションズ多様なリアルタイムコミュニケーションでシームレスな通信を実現!

SBCを強みとする2社が合併して誕生したリボン・コミュニケーションズ

SAS Institute Japanデータ解析、もうやり尽くしたと思うのはまだ早い

さらなる品質改善やコスト削減を実現したあの先進企業とは?

潜伏する脅威をAIが検知!
産業用制御システムやIoTも守備範囲

日商エレクトロニクスのセキュリティ対策が“新ステージ”に突入する!

リボン・コミュニケーションズTeamsの電話機能にいち早く対応
UCを狙ったサイバー攻撃対策も

Microsoft TeamsとPSTNをつなぐリボン・コミュニケーションズ

UNIVERGE Aspire WX電話やUC機能を全方位にカバー
中小企業の多様な働き方を強力支援

NECが5年ぶりの中小向けキーテレフォン「UNIVERGE Aspire WX」

F5ネットワークスセキュリティやGi-LAN仮想化など
モバイルインフラの強化に貢献

5G移行を控えた今、F5ネットワークスはどんな価値を提供できるのか?

moconavi今いる場所がオフィスになる!
moconaviで安全なモバイルワーク

場所を問わない新しい働き方の実現には、ICT環境の整備も不可欠だ。

サンテレホンサンテレホンがICT総合展示会
ビジネス伸ばす製品群が一堂に

東京ドームシティ・プリズムホールで7月18・19日開催!

アクセスランキング

tc1809
compass

「通信」の力でビジネスを進化させるbusinessnetwork.jp

Copyright(c) 2018 RIC TELECOM Co.,Ltd. All Rights Reserved. 記事の無断転載を禁じます