国内時価総額上位25社の12万件以上の「資産」が悪用のリスクに–テナブル調査

今回は「国内時価総額上位25社の12万件以上の「資産」が悪用のリスクに–テナブル調査」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　Tenable Network Security Japanは7月13日、企業の「サイバー衛生管理」に関する独自調査の結果に関する説明会を開催した。国内では時価総額上位25社だけで12万件以上の資産がサイバー攻撃などの悪用のリスクにさらされているという。

　調査は、オーストラリア、インド、日本、シンガポールの4カ国において、各国で時価総額上位25社を対象に実施した。日本については、「インターネット接続があり、悪用されるリスクがある資産が12万件以上」という状況で、調査対象25社では平均4800件の資産がリスクにさらされているという。

　なお同社は、調査での「資産」（Assets）の定義を、「インターネットまたはイントラネットに接続されているデバイスのドメイン名、サブドメインもしくはIPアドレス、さらに／またはそれらの組み合わせ」としており、一般的な例としてはウェブサーバー、ネームサーバー、IoTデバイス、ネットワークプリンターなどとしている。

　また、こうした文脈でよく使われる用語に「アタックサーフェス」（Attack Surface：攻撃対象領域）がある。これについて同社は、攻撃者の観点から企業ネットワークを見た際に、アタックサーフェスには企業の全資産が含まれ、各資産のアクティブなリスクニングサービス（オープンポート）も含まれると説明している。やや違いが分かりにくいが、外部からアクセス可能な通信ポートなどは攻撃対象となるためアタックサーフェスに含まれるが、それ自体はあくまでもインターフェースでしかなく、企業独自の価値などが含まれるものではないため、「資産」としては考えないということだと理解すれば良さそうだ。基本的に、ここでいう「資産」はアタックサーフェスに含まれており、より限定的な概念となる。

　日本企業のサイバー攻撃対策をどう講じていくべきかという観点から説明した米Tenableのチーフ セキュリティ ストラテジストを務めるNathan Wenzler氏は、サイバーセキュリティ対策の第一目標として所有資産の特定を挙げ、「存在を確認できなければ、保護することができない」と指摘した。さらに、多くの企業がインターネット上に存在する自社の資産を的確に把握できていない「可視性の断絶」という問題が存在することも指摘した。