2014年の脆弱性から学ぶ今後のセキュリティ対策 - トレンドマイクロ

トレンドマイクロは1月20日、「2014年を振り返る：脆弱性の傾向から学ぶこと｜トレンドマイクロ セキュリティブログ」において、例年と違っていた」として2014年の脆弱性の動向をまとめ、そうした状況からどのようなことが得られるかについて伝えた。これは、今後も発見が続くであろう脆弱性とどのように向き合っていくべきかを考える際の資料として参考になる。

記事では、2014年の脆弱性の特徴として以下の点を指摘している。

Heartbleed、Shellshock、Poodle、WinShockといった重大な脆弱性が多数発生
OpenSSLにおいて多数の脆弱性が発生
分散型サービス拒否攻撃が増加
Adobe Systemsのプロダクトに関する脆弱性の減少(Adobe Flashは増加)

こうしたことを踏まえ、次のようなことを学習できると説明している。

古いアプリケーションやオープンソースのアプリケーションが必ずしも安全とは限らないという認識を持つ
CVSS(Common Vulnerability Scoring System)の数値だけでは深刻度を測ることができない脆弱性も存在していることを知る(Heartbleedなど)
古いソフトウェアは最新のバージョンへアップデートを続ける
セキュリティ対策の活発化、社員教育やツールへの投資する
被害を抑えるためにアクセス権限を必要最小限に変更する
SQLインジェクション、クロスサイトスクリプティング、認証破りといった古典的な攻撃手法も依然として広く実施されていることを認識する

脆弱性対策はソフトウェアによる対策のみを実施すればよいというものではなく、人への教育、組織としてどのように行動するのかの検討と実施、攻撃や不正侵入を受けたことを想定したうえでのシステム構築など、さまざまな取り組みを実施する必要がある。