オンライン犯罪とは穴を見つけ出すこと、すなわち、あなたのソフトウェアのセキュリティホールを見つけ出すことです。

エフセキュアのシニアリサーチャーであるティモ・ヒルヴォネンは次のように述べています。「ソフトウェアの構成要素には脆弱性がつきものです。そして常に、こうした脆弱性を利用してエクスプロイトを作成する犯罪者がいます。メーカーがリリースするセキュリティパッチは基本的にソフトウェアの脆弱性をあらわにするため、これが犯罪者にとって格好のビジネスモデルになりつつあります。犯罪者は脆弱性を見つけるためにパッチを解析し、見つけた脆弱性を自らが開発したエクスプロイトのターゲットとするのです」

犯罪者は一日中、あなたのネットワークに侵入する方法を考えて過ごし、あなたは一日中、ビジネスの運営に懸命に取り組んでいることを考えると、犯罪者の方が有利かもしれません。ただし、データとお客様の安全性を高めるためにできることはたくさんあります。

エフセキュアのセキュリティアドバイザーであるショーン・サリバンが最近、自社のITインフラを守りたい企業からよく尋ねられる質問について答えています。サリバンは、最も一般的な脆弱性の傾向、これら脆弱性にパッチを適用するための具体策、さらに企業が犯しやすい大きな間違いについて説明しています。

モバイルアプリやクラウドシステムのおかげで、従業員はどこからでもドキュメントやシステム、データ、その他成果物にアクセスすることができますが、常にアクセスしていれば、常にセキュリティリスクに晒されていることになります。こうしたリスクの中で最大のものは何でしょうか?

いつでもどこからでもアクセスして業務を行うということは、より多くのデバイスを利用することであり、攻撃対象領域が大きくなるということです。たとえ努力を惜しまず、テクノロジーに精通し、疑わしいファイルは開かない慎重な人であっても、エクスプロイトの被害者になる可能性があります。エクスプロイトキットは、Adobe ReaderやFlash PlayerなどWebブラウザおよびプログラムで一般的に利用されているソフトウェアの脆弱性を自動的に利用するからです。

エフセキュアがここ最近ブロックした攻撃の半分以上がエクスプロイトであり、中小中堅企業(SMB)にとって大きな脅威の1つとなっています。ソフトウェアをアップデートしないことが多いため、企業のリスクが増大しているためです。

Java Plug-inを例に挙げると、日常業務にとってミッションクリティカルなアプリケーションではないと考え、Java Plug-inのアップデートが無視されることがしばしばあります。これが防御の隙となって悪意ある攻撃を招く可能性があります。エフセキュアが検出したエクスプロイトキットの一部には、既に何カ月も前に検出され、パッチが適用されたエクスプロイトが使われていることがあります。攻撃者は多くの企業がソフトウェアをアップデートしていないことに賭け、その賭けが報われることがあるのです。


中小中堅企業がこうしたリスクから自分たちを守るために講じるべき最も重要な対策は何でしょうか?

サイバーセキュリティのランドスケープは常に変化しているため、ITスタッフを研修セミナーに行かせ、自社のユーザやネットワークを守る方法について、どんどん学ばせることです。さらに、クラウドベースのセキュリティソリューションを導入すれば、あなた自身や従業員がプラグインやアプリケーションのアップデートを気にかける必要がなくなります。

中小中堅企業がセキュリティ対策において犯しやすい、最大の間違いは何でしょうか?

自社のデータとコンテンツを過小評価することです。例えば、新規採用者のためのトレーニング資料はビジネスの機能に不可欠なものではないため、企業はそれほど重きを置いていないかもしれません。ただし、これを最初からすべて作り直さなければならないとしたら、多くの時間とリソースが必要となるのではないでしょうか。攻撃者が自身にとって重要でないアイテムはねらわないという考えは間違っています。攻撃者はあなたにとって重要なものに関心を持っています。

複数の場所、すなわちオンラインおよび物理的なハードドライブにファイルをバックアップしておいてください。VPN(仮想プライベートネットワーク)を利用して、やり取りを暗号化し、従業員にも業務用および個人用のデバイスの使用にあたってはVPNアプリケーションを奨励または提供します。最後に、自社のシステムを継続的にアップデートしてください。アップデートを自動で行ってくれるクラウドベースのセキュリティソフトウェアを利用すれば時間とお金を節約でき、セキュリティはプロに任せてビジネスに集中することができます。

F-Secure Boosterのプレミアム版にはソフトウェアのアップデート機能が含まれており、ドライバやアプリケーションを監視して、常にパッチを適用し、保護された状態を保ちます。エフセキュアの法人向け製品にも、継続的にソフトウェアをアップデートしエクスプロイトから守るソフトウェアアップデータが組み込まれています。



>>原文へのリンク