たとえIT環境を保護するための適切なツールが導入されていたとしても、常に最適化されていないのであれば、セキュリティリスクはゼロではなく、パッチを適用したからといっても、問題が解決するわけではありません。

WannaCryとNotPetyaは、米国家安全保障局(NSA)から盗まれたエクスプロイトとWindowsソフトウェアによくある脆弱性、これらのセキュリティ上の弱点の組み合わせを利用されたことで急速に広がりました。

しかし、WannaCryとNotPetyaによって弱点を突かれたWindowsソフトウェアのパッチは、既に公開されていたのにも関わらず、このような出来事が実際に起こるのです。

・ソフトウェアは本質的には脆弱:ソフトウェアの何十万ものコードはすべて人によって作成されているため、異常や不具合などは生じて当然だといえます。異常や不具合などがなく、潜在的な攻撃者からの攻撃を受けないソフトウェアを作成できる人はいないということです。

・ソフトウェアが古ければ古いほど脆弱性が露呈する:Ivantiでは、この状況を「腐った牛乳」に例えて説明します。冷蔵庫の中に牛乳を放置すれば、時間が経てば経つほどもちろん牛乳は古くなっていき、最終的には腐ってしまいます。この腐った牛乳と同様に、ソフトウェアが世に出てから時間が経てば経つほど内在していた脆弱性が露呈され、悪用されてしまうということです。

・レガシーソフトウェアにパッチを適用しても効果がない:MicrosoftはWannaCryによる攻撃のあと、この脅威は拡大する可能性があると先に見越して、サポートされていないOS向けのパッチをリリースしました。しかし、必ずしも効果がないわけではありませんが、脆弱性のある古いソフトウェアの更新に期待はできないといえます。

・比較的に新しいソフトウェアには適切にパッチが適用されない:WannaCryによる攻撃以前は、サポートされているオペレーティングシステムに対してパッチが公開されていましたが、先ほど触れた通り、WannaCryによる攻撃以降には、サポートされていないシステムに対してもパッチが公開されています。このように、あらゆるパッチが利用でき、WannaCryによる攻撃を受けたばかりであるにも関わらず、わずか1ヶ月後に企業はNotPetyaの被害に遭っているのです。NotPetyaの被害に遭った企業は、自社のIT環境全体においてパッチを適用するツールを導入していなかったのか、あるいは、企業の一部の人が速やかに対応したものの間に合わなかったのかもしれません。理由は何であれ、パッチが公開されているからといって、期待通りにパッチが適用されているわけではないということです。

・すべてにパッチを適用できるわけではない:パッチでは、ゼロデイ攻撃に対する保護はできません。例えば、レガシーシステムを実行している、あるいは、パッチを適用することで使用しているIT環境に何らかの支障が出ることを懸念してパッチが適用できないというような場合は、どうすればいいのでしょうか?まず、アプリケーションのホワイトリストや権限管理などのツールを使用して、パッチを適用できないアプリケーションを阻止する必要があります。場所を問わずユーザーが自身のデスクトップにアクセスする方法や、ユーザーには生産性を向上するために必要なアプリケーションのみを提供して、不正アプリケーションを導入させないようにすることが極めて重要だということです。不正アプリケーションはデスクトップの安全性を低下させ、セキュリティに影響を及ぼす他、ライセンスのコンプライアンス違反にもなるため、ユーザーのダウンタイムにつながり、デスクトップ管理コストを引き上げる原因になることもあるのです。

お客様から寄せられているその他の問題

当然ですが、この問題以外にもサイバーセキュリティに関する課題はたくさんあるため、IT部門とセキュリティ部門が懸命に取り組んだとしても、問題は発生してしまいます。

IT部門とセキュリティ部門がその場しのぎのソリューションを導入しているために、サイバーセキュリティが寄せ集めのような状態になっていませんか?

様々なソリューションの寄せ集めでは、全体的にうまく機能せず、IT環境へのリスク全体をまとめて確認することができません。

Cisso 2017 Annual Cybersecurity Reportでは、セキュリティの専門家の55%が、最低でも6社のセキュリティベンダーを利用していると報告されています。

WannaCryとNotPetyaのような脅威が、生産性や顧客満足度、企業の信頼性にもたらす影響を想像してみてください。

さらに、複数のベンダーからの様々なソリューションとプラットフォームが混在していることが原因で、実は攻撃できる「隙」ができてしまい、リスクや損害が増大し、すでに働きすぎているチームやIT担当者に、さらなる負担を課すことになっている現実があるのです。

今後の展開

これらたくさんの問題によって今後どのような展開が考えられるでしょうか?

言うまでもないですが、現代のハッカーは世界中の重要なインフラに甚大な影響を持っています。

パッチ適用プロセスを自動化!その方法とはについて、本シリーズの3番目のブログを読んでご確認ください。 

サイバーセキュリティの全体像については、当社のホワイトペーパーをご確認ください。