Information Security誌の調査によれば、米国企業のIT担当者はセキュリティ分野において、脅威と脆弱性の相関関係の分析が重要だと考えている。
脆弱性の管理は常に厄介な仕事だが、企業は今年、この仕事をより的確に処理することを目指している。Information Security誌の脆弱性に関する調査でも、回答者の44%が、より多くの時間をかけて脆弱性管理に取り組むと答えており、63%が、脅威と脆弱性の相関関係の分析が重要になるとしている。
相関関係の分析は、ソフトウェアの欠陥から、ソーシャルエンジニアリングに対する弱さという人的な要素まで、さまざまな脆弱性を抱える企業にとって有益だと、SANSインターネット・ストーム・センター(ISC)のディレクター、マーカス・サックス氏は語る。
「すべての脆弱性をふさぐことはできないので、的を絞らなくてはならない」と同氏。「良いアプローチの1つは、脅威が発生する可能性が特に大きい脆弱性に目を向けることだ。そうすれば、気の毒にも膨大な脆弱性を解消するよう上司から指示されたシステム管理者にとって、少なくとも作業の出発点になり、目指すべき方向が見えてくる」
サックス氏は、多くの企業が、IBMインターネット・セキュリティ・システムズやベリサイン・アイディフェンスが提供しているような脅威情報サービスを利用して、ハッカーの動向の把握に努めていると語る。
また、攻撃の傾向を発見、分析できるハニーポットやそのほかのセンサーを独自に開発し、ハッカーの動向把握に役立てている企業もある。
「セキュリティ対策で肝心なのはリスク管理だ。完全なセキュリティなど存在しない」とサックス氏。「リスク管理を通じてリスクのレベルを、対処していける許容可能な範囲に抑えるようにするしかない」
ビデオ・ゲーミング・テクノロジーズのシニアネットワークエンジニア、ダン・ゴールドバーグ氏も、脅威と脆弱性の相関分析が重要だという点では同意見だが、同氏の会社ではこの分析に取り組む前に、そのための基盤を固めなければならないと語る。
「この分析はリスク管理の一部だ」と同氏は付け加える。「リスク評価はわたしにとって2008年の優先課題になるだろう」
Copyright © ITmedia, Inc. All Rights Reserved.
「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上
早稲田大学商学学術院教授
早稲田大学大学院国際情報通信研究科教授
株式会社CEAFOM 代表取締役社長
株式会社プロシード 代表取締役
明治学院大学 経済学部准教授