米 Rapid7 Inc.と日本法人ラピッドセブン・ジャパン株式会社は8月3日、企業等がサーバーやインフラをインターネットに公開するにあたり存在しているリスクを包括的、かつ国・業界・クラウド別に調査した「 National Industry Cloud Exposure Report( NICER )」2020年度版の結果を発表した。調査は、同社が「サイバーエクスポージャー」と呼ぶ、インターネットに接続されたサービスにおける外部公開の方法、および設定に関する弱点の発生率と地理的分布を測定したもの。調査対象はUSはFortune500、UKはFTSE250、日本は日経225など約1,500の組織。
パスワード管理とパッチ管理は最も重要といえるセキュリティ対策であるにも関わらず、あまりにも基本すぎてその活動があまり評価されない傾向が存在する。果たしてUSやグローバルでもこういう傾向はあるのか、というScanNetSecurityの質問に対し、Rapid7社 チーフデータサイエンティスト Bob Rudis 氏は「アメリカでもまったく同じ傾向が存在する。新しいキラキラするものに皆が注目する。その理由はわからない。だがパッチ管理や脆弱性管理のような縁の下の力持ちの対策がなければ、その上に積み上げた対策も機能しないことは明らかだ」と回答した。
また、同社 リサーチダイレクター Tod Beardsley 氏は「確かにパッチ管理や脆弱性管理は目立たないし人に誉められることはないが、そういうつまらない業務にしておく必要は必ずしもない。たとえばパッチ管理を自動化するような仕組を考えることは、非常に高度なコンピュータエンジニアリングのスキルを要する作業になる。一見つまらないように見えるその業務を高みに上げるかどうかは担当する技術者のクリエイティビティ次第でもある」と答えた。
《高橋 潤哉( Junya Takahashi )》
