ニュース
サイバー攻撃につながる構成ミス TOP10、米NSAとCISAが発表:ネットワーク防御者とソフトウェアメーカー向けにリスク軽減策を紹介
米国の国家安全保障局と国土安全保障省サイバーセキュリティインフラセキュリティ庁が発表した共同サイバーセキュリティアドバイザリーは、大規模組織で最も一般的な10のサイバーセキュリティ上の構成ミスに焦点を当て、それらのリスクとその軽減策を解説している。
米国の国家安全保障局(NSA)と国土安全保障省サイバーセキュリティインフラセキュリティ庁(CISA)は2023年10月5日(米国時間)、共同サイバーセキュリティアドバイザリー(CSA)を発表した。
この共同CSA「NSA and CISA Red and Blue Teams Share Top Ten Cybersecurity Misconfigurations」では、大規模組織で最も一般的な10のサイバーセキュリティ上の構成ミスに焦点を当て、攻撃者がこれらを悪用するために用いる戦術、技術、手順(TTP)を解説するとともに、こうした悪用リスクを軽減するための推奨事項を紹介している。
NSAとCISAは、国防総省、連邦政府、州、地方政府、民間部門にわたる多数のネットワークのセキュリティ体制を評価してきた。共同CSAで挙げられた10のネットワーク構成ミスは、これらの評価の過程で特定された。
関連記事
2022年の脆弱性報告は「構成ミス」「不適切な認可」が大幅増加 HackerOne調査
企業向けにバグ報奨金制度の運営代行など各種セキュリティサービスを手掛けるHackerOneが、年次活動報告を発表した。
全てのセキュリティ予算をテクノロジーに費やしてはいけない理由
ほとんどのサイバー攻撃を引き起こすのは、機械ではなく人間の脆弱(ぜいじゃく)性だ。サイバーセキュリティのリーダーは、セキュリティ予算をテクノロジー的な対策の強化に配分する前に、人的要素を考慮する必要がある。
「サイバー攻撃の被害は警察署に通報を」――警視庁が解説する最新の脅威動向、セキュリティ対策の基本
サイバー攻撃の脅威を対岸の火事と捉える経営者は珍しくない。だが現実は、企業規模を問わず、脆弱性のあるシステムを標的にサイバー攻撃が仕掛けられ、システムを使用していた自社はもちろん、取引先にまで影響を及ぼすケースが起きている。東京商工会議所が主催したセミナーに登壇した警視庁の担当者が、最新の脅威動向、サイバーセキュリティ対策の基本を解説した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.