この投稿はで発表された记事を元にしています。
もしも自动车贩売店が次のような宣伝広告を掲载したら、たちまち大きな反响が広がることはほぼ确実です。「犯罪组织は自动车のロックを解除できる键を贩売していますが、当店ではこの键が効かない交换用のロックを无料で提供しています」
ところが、ソフトウェアは明らかにその域に达していません。セキュリティ公司、340人の情报セキュリティ専门家を対象とした调査の结果、全世界の组织の27%、ヨーロッパの组织の34%が、パッチ未适用の脆弱性を狙われてセキュリティを侵害された経験があることを発表しました。
この調査は先月、Dimensional Researchによって実施されました。
この结果は惊くにはあたりません。漏洩に関するニュースは枚挙にいとまがなく、の例のように壊灭的な被害を受ける场合もありますが、その原因は公表された脆弱性に対するパッチ适用を组织が軽视しているためです。
もちろん、こうした统计の见方はさまざまです。被害は「わずか」4分の1、つまり75%が漏洩しなかったと捉えれば肯定的な数字に思えるかもしれませんが、泥棒に自宅のセキュリティ?システムを破られるといった物理的セキュリティを考える场合なら、多くの人が想定する発生确率は数百分の1程度でしょう。
しかも、これらの脆弱性は初めて遭遇する「ゼロデイ」の脆弱性ではなく、既知のバグや欠陥であり、パッチを适用可能なものです。提供されているパッチを适用し损なったばかりに被害を受けたのです。
このレポートには、组织が脆弱であるさまざまな理由も示されています。
セキュリティの基本である厳格なパッチ适用が100%に近付かないのはなぜでしょうか。これは万金に値する问题です。、昨年のデータ漏洩による平均コストは386万ドルでした。
実际、漏洩にはさまざまな面でコストが伴います。潜在的な损害としては、评判の失坠、市场価値の低下、コンプライアンス违反に対する罚金、法的责任などがあります。多くの公司はこれを何とか乗り切ることができたとしても、こうしたコストは公司の存続に関わる胁威になる可能性があります。
私が言いたいのは、そういう道をたどる必要はないということです。鉄壁のセキュリティは不可能としても、よほどの専门知识と意欲に満ちたハッカーでなければ食指が动かないような程度にまで十分にネットワーク、アプリケーション、システムのセキュリティを向上させることを可能にするさまざまなツールやその他の対策があります。
これを実行するには、2つの基本事项があります。
まず、アプリケーションベンダーは、製品を市场に投入する前に、そのソフトウェアにセキュリティを组み込む必要があります。完璧とはいかないまでも、完璧に近付けることは可能です。多くのスポーツの场合とは异なり、アプリケーションセキュリティは完璧に近付けることが重要です。
次に、ソフトウェアを使用する组织は、全员がソフトウェアの机能についての知识を持ち、その知识を常に最新の状态に保つ必要があります。当たり前の言い古されたことですが、自分が所有していることに気付いていないものを守ることはできません。
最初の基本の実行方法についてはテンプレートが十分に确立されています。あらゆるセキュリティカンファレンスの演坛で説かれていることです。それは普遍的な表现で「シフトレフト」と呼ばれ、ソフトウェア开発ライフサイクル(厂顿尝颁)の最初から全工程を通じてセキュリティテストを行うことを意味します。最后のペネトレーションテストの段阶まで「とっておく」ようなことはしないでください。
开発者がバグを见つけて修正するために役立つツールの包括的なメニューが用意されています。その内容の一部を以下に示します。
もちろん、ペネトレーションテストが完了してソフトウェアがいかに完璧に近付いたとしても、悪意のあるエクスプロイトまたは公になる前にメーカーに报告しようとする善意のエクスプロイトによって脆弱性が発见されることは避けられません。
これは第二の基本、すなわち何を所有しているかを把握して最新状态に保つことにつながります。これはベンダーにもその顾客にも当てはまることです。
Tripwireの製品管理および戦略担当副社長であるTim Erlin氏は、セキュアな開発プラクティスに加えて、ベンダーは「発見された脆弱性を修正するプロセス」を必要としていると指摘しています。ベンダーの立場からすると、顧客が実際にパッチなどの緩和策を適用しない限り、問題は本当の意味では解決されません。」
プロジェクトのバージョン管理?保管も行うコード共有およびパブリッシングサービス、GitHubのセキュリティ担当シニア?プロダクト?マネージャーを務めるJustin Hutchings氏はこう認め、確かに、ソフトウェアの脆弱性に対する情報を公開し、修正プログラムを提供するのは公司の责任であるが、脆弱性が公開された後は、「脆弱性にパッチを適用する責任は下流のソフトウェアプロジェクトとIT組織にあります」と語っています。
そして、必ずしもこれが実践されていないという罢谤颈辫飞颈谤别の调査结果を里付ける现実があります。「昨年、骋颈迟贬耻产上の脆弱なソフトウェアプロジェクトに対して、约2,700万件のセキュリティ脆弱性アラートを送信しました」と、贬耻迟肠丑颈苍驳蝉氏は述べています。
「セキュリティ脆弱性アラートはユーザーにプロジェクトのセキュリティを保护するための情报を提供しますが、业界データによると、脆弱性の70%以上は30日を経过してもパッチが适用されず、多くの脆弱性がパッチを适用するまでに1年もかかっている可能性があります」と贬耻迟肠丑颈苍驳蝉氏は述べています。
その一つの改善方法として、Hutchings 氏はビジネスクリティカルなソフトウェアをクラウドに移行することを勧めています。「SaaS(Software-as-a-service)のアプリケーションはすべて一元的に管理されており、何千もの顧客の個々のアップグレードサイクルに依存しないため、パッチ適用がはるかに迅速に行われる傾向があります」と、Hutchings氏は指摘します。
确かにこれらの対策はすべてコストがかかりますが、重大な侵害によって生じた结果への対処に比べれば、はるかに低コストです。