事故から学ぶ

意外? 「データベースの脆弱性を最も放置している国」が判明

事故概要

業種 【情報】
発生時期 【情報】
漏えい人数 【情報】
事故概要

Impervaは、5年間に約2万7000個のデータベースをスキャンしてデータベースの脆弱(ぜいじゃく)性に関する調査を行った。その結果、データベースには平均26個の脆弱性が含まれていた。
調査で見つかった共通脆弱性識別子(CVE:Common Vulnerabilities and Exposures)の約半数(56%)は、米国立標準技術研究所(NIST)のガイドラインに従えば深刻度「高」(high)または「重大」(critical)に分類されるものだった。
脆弱なデータベースが多い国
脆弱性を持った安全性の低いデータベースの利用率も明らかになった。Impervaのスキャン結果によると、3年以上放置されているCVEもある。これはデータのセキュリティを優先しておらず、定期的なパッチ適用を怠っている企業が多いことを示している。
安全性の低いデータベースの利用率が最も高かったのはフランスの企業で、10個あるデータベースのうち、脆弱性を1つ以上含むものが8個以上あった。
アジア太平洋地域で安全性が低いデータベースの利用率が高いのはオーストラリアとシンガポールの企業で、脆弱性を少なくとも1つ含むデータベースの割合はオーストラリアが65%、シンガポールが64%だった。
Impervaのエラド・エレス氏(最高イノベーション責任者)は言う。「セキュリティへの投資を声高に唱える企業は多いが、そのほとんどが失敗している。セキュリティ製品や旧式のプロセスを過信し、データベースのセキュリティを見落としている企業があまりにも多い」
クラウドデータベースへの移行が進んではいるが、大半の企業は機密度が最も高いデータをオンプレミスのデータベースに格納していることをエレス氏は懸念する。
「オンプレミスデータベースのほぼ2つに1つが脆弱であることを考えると、データ侵害が増え続ける可能性は非常に高い」
データベースの脆弱性は攻撃者に絶好の機会を与える。Imperva Research Labsが2021年初めに行った別の調査によると、データ侵害は年間で30%ずつ増えており、侵害されたレコード数は平均224%増えているという。
攻撃者は、SQLインジェクションなどの手口を使ってWebアプリケーションの脆弱性を悪用する恐れがある。ここ数年の侵害の約50%がアプリケーション層で発生している。アプリケーションの脆弱性が脅威であることは一貫して変わらない。フィッシングやマルウェアによって社内ネットワークに侵入し、それを足掛かりに脆弱なデータベースに移動する恐れもある。
攻撃者は「Exploit Database」などのリポジトリを利用して悪意のあるコードを取得し、「Shodan」などのツールを使って脆弱な標的を見つけ出す恐れがある。
驚くべき数の脆弱性がオンプレミスのデータベースに存在することを考えると、情報漏えいのインシデントが12カ月平均で15%以上増えたとしても不思議ではない。
2017年以降のデータ侵害を分析したところ、盗み出されたデータの74%が個人情報であり、収益性の高い標的としてログイン資格情報(15%)、クレジットカード情報(10%)などが挙がっている。
「攻撃者は、データベースを足掛かりにしてネットワークを水平方向に移動するツールを使っている」
「データ侵害の爆発的な急増は、データのセキュリティを本当に確保するための時間やりソースに十分な投資を行っていない証拠だ。データ保護を全ての中心に据えるセキュリティ戦略を構築する必要がある」

引用元 TeckTarget

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

【情報】

チェックリストにある要求ルール:

【情報】

■ 推奨対策

対策:

コンピュータは繰り返し処理に使うもので、新しいこと、違うことをやらせるときには簡便に見えても、徹底したテストが必要である。
テストにはある程度確立したルールもあり、テストをやらない、あるいはテストを省く条件も決められている。データを取り込んで出力する、という一見なんでもない処理であっても、テスト未実施という手抜きをすればこのような事態を引き起こす。テストを省くことを許容する組織の問題である。

具体例:

コンピュータは繰り返し処理に使うもので、新しいこと、違うことをやらせるときには簡便に見えても、徹底したテストが必要である。
テストにはある程度確立したルールもあり、テストをやらない、あるいはテストを省く条件も決められている。データを取り込んで出力する、という一見なんでもない処理であっても、テスト未実施という手抜きをすればこのような事態を引き起こす。テストを省くことを許容する組織の問題である。

タグ

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。