企業の大半は脆弱性を放置している
一般企業は脆弱性に対するパッチを1カ月経っても放置しているというニュースがありました。
企業はパッチを適用していない--大半の脆弱性は1カ月経っても未対応
僕はとても驚きでした。
State Of Software Securityのレポートより、企業の脆弱性に対する驚きの姿勢が明らかになったとのことです。
緊急度が高い脆弱性の25%は290日後になっても修正されていないそうです。
緊急度が高い脆弱性への対応ですら対応ができていない状況というのは、どういうことでしょう。
2017年にApache Strutsの脆弱性(CVE-2017-5638)で1億4300万人のユーザーの顧客情報が流出したEquifaxというアメリカの大手消費者信用情報会社の事件はとても規模の大きい事例です。
(参考)https://blog.trendmicro.co.jp/archives/15982
Apache Strutsは、2018年8月24日の更新でのIPAのセキュリティ情報「Apache Struts2 の脆弱性対策について(CVE-2018-11776)(S2-057)」でも脆弱性が見つかっており、実に多い数になっています。
オープンソースのソフトウェアは非常に利用が便利で開発も活発なため、どんどん企業にも導入されてきています。
大企業ではオープンソースがベストプラクティスにを見ると、Global Fortune 2000企業を対象にしたオープンソースの調査を見ると、全体の53%の企業がオープンソースソフトウェアの管理計画を策定済みか、または2019年中に策定すると回答したとのことです。
まさに、オープンソースがベストプラクティスになってきたという感じです。
そんな中で、セキュリティへの配慮がない企業が多いのは次々に現れる脆弱性やセキュリティに関する情報を現場が処理できなくなっているからではないでしょうか。
各企業にセキュリティの専門家がいるわけでは決してないですし、本当にセキュリティに力を入れようと思ったら莫大なお金がかかることはご存知なのです。
また、どのレベルでのセキュリティを求めたら良いのかも非常に難しい問題ではないでしょうか。
大きな企業であれば、セキュリティポリシーが策定されており膨大なチェックシートをクリアしないとWebやシステムの施策が取れないという会社もあるでしょう。
しかし、そういった企業ばかりではないと思います。
今やIT系の企業でなくともITやWebは何かしらで関わっている時代です。
そこでは営業でも、マーケティングでも、エンジニアでも、経理でも、人事でも、経営者でも、フリーランスでもある程度の知識を持っていることが必要不可欠だと思っています。
例えば、IPA 独立行政法人 情報処理推進機構を見て脆弱性の情報を見てみる、総務省が出している国民のための情報セキュリティサイトで基本知識を蓄積する、内閣府が出しているkindle(0円)の情報セキュリティハンドブック Kindle版というのも導入としては面白いかもしれません。
社会で活躍する人達ひとりひとりの基礎知識が上がることがこういった脆弱性放置をなくす一手だと思っていますし、基礎知識が上がることで危機感や企業の予算配分などにも影響を与え、せっかく個人情報を預けた人たちを情報漏えいなどで裏切ることにならずに済むのではないかと思いました。
私、穂苅智哉の情報は、以下のFacebookページTwitterアカウントを御覧ください!
※友達申請をいただける方は、お手数ですがメッセージを添えておねがいいたします。