EOLソフトウェアが企業のセキュリティを脅かす

tookitook -shutterstock.com

Palo Alto Networksの調査によると、Linuxシステムの26％、Windowsシステムの8％が古いバージョンで稼働しています。この結果は、1,800社のネットワークにある2,700万台のデバイスのテレメトリデータに基づいています。

さらに分析によると、ネットワークディレクトリに登録されているITデバイスの39％がアクティブなエンドポイント保護ソリューションを持っていません。企業ネットワーク内の全デバイスの3分の1（32.5％）がIT管理外で運用されています。

セキュリティコントロールが欠如していることで、攻撃者は保護されていないデバイスに気付かれることなく侵入できます。また、企業ネットワークのほぼ4分の3（77％）はセグメント化が不十分であり、スマートコーヒーマシンやプリンターなどセキュリティレベルの低いデバイスが、財務サーバーなどの重要なターゲットと同じネットワークセグメントに存在しています。

「今回の調査で特に目立ったのは、監視カメラやスマートセンサー、個人用ノートパソコンなどの日常的なデバイスが、しばしば機密性の高いシステムと直接接続されていることです。また、ITが管理しているデバイスでさえ、しばしばセキュリティの脆弱性が見られます」と、Palo Alto Networksのクラウドベースセキュリティサービス担当プロダクトマネジメントVPであるQiang Huang氏はCSOに語ります。「これらの接続のほぼ半数は、セキュリティが考慮されていない高リスクデバイスから発生しています。」

可視性のギャップ

調査によると、可視性とセグメンテーションは依然として多くの企業ネットワークの最大の弱点です。企業デバイスのおよそ3分の1はいまだに管理されていません。ほとんどのネットワークは実質的にフラットな構成となっており、攻撃者は侵入後に自由に移動できます。

さらに悪いことに、ネットワークエッジデバイスはゼロデイ脆弱性の影響を受けるケースが増えており、専門家はこれを基本的なセキュリティホールに起因すると指摘しています。

「ファイアウォール、ルーター、スイッチの設定ミスは、これらのデバイスが特権アクセスや広範なネットワーク可視性を持つため、繰り返し重大なセキュリティ侵害を引き起こしています」と、Trend MicroのフィールドCTOであるBharat Mistry氏は説明します。「これらが脆弱性リストの上位に位置していることは、厳格なパッチおよび設定管理の必要性を強調しています。」

ルーター、ビデオ会議システム、IoTデバイスはネットワークの端に位置しています。これらはしばしば管理されておらず、十分なパッチが適用されておらず、標準の認証情報で稼働しています。

「企業がインターネットへの露出を減らし、標準のログイン情報を廃止し、公開されていて脆弱なデバイスを優先的にパッチ適用することで、攻撃者の選択肢を大幅に減らすことができます」とForescoutのセキュリティインテリジェンス担当VPであるRik Ferguson氏は強調します。

Ferguson氏はさらに、「エージェントによるカバーに頼ることはできません。そのため、継続的かつエージェントレスな可視性、EOLステータスを含む完全なソフトウェアおよびファームウェアのインベントリ、セグメント化およびパッチレベルでのリスクベースのコントロールが必要です」と述べています。

同様の結果を示す別の調査

Ferguson氏はCSOに対し、「Palo Alto Networksの結果は、特にルーターやデバイスの組み込みLinuxシステムでカーネルバージョンが何年も遅れている場合など、私たちの現場での観察とほぼ一致しています」と認めています。「その結果、インターネットからアクセス可能なデバイスに未修正の脆弱性や弱いデフォルト設定が残り、攻撃対象領域が広がっています。」

Forescoutの最新年次レポートによると、最も危険な脆弱性を持つデバイスの半数以上がルーターやその他のネットワーク機器であり、ビデオ・音声システムなど他のカテゴリも重要な役割を果たしています。

Forescoutの調査は、ForescoutのDevice Cloudを利用した企業デバイスのテレメトリデータと多要素リスク評価手法に基づいており、OTデバイスによるリスクが急速に増加していることも強調しています。

ForeScoutによれば、ドメイン別で最もリスクの高いデバイスタイプは、IT分野ではアプリケーションデリバリーコントローラーやファイアウォール、IoT分野ではNVR、NAS、VoIP、IPカメラ、OT分野ではユニバーサルゲートウェイやビル管理システムです。

対策における課題

QualysのEMEA担当マネージングディレクターであるMatt Middleton-Leal氏は、CISOがセキュリティプロジェクトの支援を得たい場合、透明性、脆弱性の修正、ネットワークセグメンテーションを社内でより重要視する必要があると考えています。

セキュリティ担当者にとっての課題は、安全でないデバイスの交換プロジェクトがあまり重要視されないことです。また、AI関連プロジェクトのような「イノベーションの先駆け」と見なされる分野に比べて、説得力のある理由が不足しています。

「古いデバイスの交換は、チェンジマネジメントに時間とリソースがかかる一方で、企業にとって目に見える利益をもたらさない場合があります」とMiddleton-Leal氏は述べています。

GRC International Groupの情報セキュリティ責任者であるAdam Seamons氏も、古いシステムの交換は企業のITプロジェクトで優先されることがほとんどないことに同意しています。「古いシステムの交換は高額でリスクも高く、何かが壊れるまで優先順位の最上位に来ることはほとんどありません。」

Seamons氏はさらに、「パッチが適用されていないデバイスは、基本的に攻撃者への招待状のようなものです」と付け加えています。

このようなリスクへの対策は、単なるハードウェアの交換や移行にとどまりません。アップグレードには、より新しく安全なコンポーネントとの互換性を確保するためにソフトウェアの追加作業が必要になる場合もあります。

「これがしばしば古いソフトウェア資産が更新されない理由です。追加作業や変更管理は大きな投資となり、経済的に正当化しにくいのです」とQualysのMiddleton-Leal氏は指摘します。

「CISOやセキュリティ責任者は、こうしたコストのバランスをチームに説明しなければなりません。ソフトウェアが寿命を迎えても置き換えができない場合は、補完的なコントロールやリスク低減策を講じて、ソフトウェアや資産のセキュリティを確保する必要があります」とMiddleton-Leal氏は求めています。（jm）