サイバーセキュリティは防御、検知、対応、予測の“プロセス”――エフセキュア:@IT脆弱性対応セミナー2018
@ITは、2018年9月11日、東京で「@IT脆弱性対応セミナー」を開催した。本稿では、エフセキュアの講演「攻撃者にとって、いくつもの脆弱性は必要ありません。1つあれば十分です。」の内容をお伝えする。
エフセキュア プロダクトグループ セールスエンジニア 部長 島田秋雄氏@ITは、2018年9月11日、東京で「@IT脆弱性対応セミナー」を開催した。本稿では、エフセキュアの講演「攻撃者にとって、いくつもの脆弱性は必要ありません。1つあれば十分です。」の内容をお伝えする。
ソフトウェアなどの脆弱(ぜいじゃく)性が1つでもあれば、十分に悪用される可能性がある。しかし、2017年に発見された脆弱性は1万7000件に上り、脆弱性が悪用されるまでの平均期間が15日であるのに対し、修正されるまでの平均期間は103日といわれている。
だが、すぐにパッチを適用できない場合もある。エフセキュアの島田秋雄氏は次のように現状を分析する。
「国内にはJavaベースの金融システムが多数あるが、パッチを当てるにしてもテスト項目の設定や関係部署との調整など、やるべきことが多過ぎて対応が完了するまで時間がかかってしまう。セキュリティ対策を、防御、検知、対応、予測の“プロセス”と捉え、これをうまく回すための基本となる、IT資産の把握や継続的な脆弱性検査、脆弱性管理プロセスの整備が必須」
「F-Secure Radar」は、脆弱性のスキャンと管理を一元的に実行する管理プラットフォームだ(クラウド版とオンプレミス版の両方を用意)。ネットワーク全体と全資産をスキャンして脅威を検出、Webアプリケーションの脆弱性をスキャンし、設定ミスを含むセキュリティ対策状況を可視化。シャドーITなど、IT部門が把握していない脆弱なポイントもあぶり出すことが可能だという。
「侵害は発生するものと想定し、脆弱性は定期的に診断する。EDR(Endpoint Detection and Response)など最新のエンドポイント対策ソリューションを検討してほしい」
関連記事
セキュリティ対策のパラダイムシフト“予防”+“検知”が必要――エフセキュア
@ITは、2018年6月22日、東京で「@ITセキュリティセミナー」を開催した。本稿では、エフセキュアの講演「サイバー攻撃の被害を最小化する、エフセキュアの「人+マシン融合」アプローチとは?―今考えるべき対策と人工知能と機械学習の役割―」の内容をお伝えする。
1周回って再び活況を呈し始めたエンドポイントセキュリティ
最適なセキュリティ対策を講じるには、IT環境や攻撃手法の変化を理解し、最新のセキュリティ対策技術を知ることが欠かせない。本特集では、企業のシステム管理者、セキュリティ担当者の方々に向けて、ちまたにあふれる「セキュリティソリューション」の最新動向を紹介する。
いまさら聞けない「境界」防御
しばしば「サイバーセキュリティは複雑だ。よく分からない」と言われる。脅威の複雑さもさることながら、ITの他の分野と異なり、あまりに多くの種類の「セキュリティソリューション」があふれていることも理由の一つではないだろうか。それらを大まかに整理することで、足りないもの、強化したいものを見つける手助けにしてほしい。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。