プレスリリース

未知のネットワーク侵害に最も脆弱な業界がホスピタリティ業界と電気通信業界であることを明らかにし、リスク緩和方法を提案


主な所見


1,500社の企業の攻撃対象領域を分析した結果、202,000件以上のCVE（共通脆弱性識別子）を特定。うち49%が、深刻度が「極めて高い」または「高い」CVE。
同1,500の約400,000台のサーバーがインターネット上に露出しており、発見可能かつ対応プロトコルの47%が古く、脆弱であることが判明。
パブリッククラウドは、特に露出リスクが高く、Amazon Web Services（AWS）、Microsoft Azure CloudおよびGoogle Cloud Platform（GCP）全体で60,500件以上のインスタンスが露出。


クラウドセキュリティ業界を牽引するZscaler（本社：米国カリフォルニア州、以下 ゼットスケーラー、https://www.zscaler.jp/）は、本日、企業の攻撃対象領域の状況に関する業界初のグローバルレポート「Exposed（https://info.zscaler.com/resources-ebooks-global-corporate-network-attack-surface-report-jp）」（日本語翻訳版）を発表しました。本レポートは、2020年2月から2021年4月までのデータを基に、史上初めて新型コロナウイルス感染症のパンデミック禍における攻撃対象領域の露出による影響に注目。企業がテレワークの選択肢を増やし始めたことで、分散型ワークフォースと同時に攻撃対象領域も拡大したことを述べています。パブリッククラウドサービスや脆弱な法人向けVPN（https://info.zscaler.com/resource-vpn-risk-report-jp）の利用が増えていることも重なり、ゼロトラストのセキュリティを取り入れていない大企業のネットワーク侵入攻撃に対する脆弱性が上がりました。「Exposed」は、地域や会社規模ごとに攻撃対象領域の主な傾向を特定すると共に、パブリッククラウドにおける露出、マルウェア、ランサムウェアおよびデータ侵害に最も脆弱な業界に注目しています。

ゼットスケーラーの新興テクノロジー担当バイスプレジデントであるネイサン・ハウ（Nathan Howe）は次のように述べています。「現代は膨大な量の情報が共有されており、そのすべてが実質的に攻撃対象領域であることが大きな懸念になっています。アクセス可能なすべてのものが、権限のないユーザーや不正なユーザーに悪用される可能性があり、自社ネットワークの露出を完全に認識・制御できていない企業は新たなリスクが発生しているかもしれません。今回のレポートは、インターネット側から見た企業の情報環境の実態を伝え、リスクを緩和するための有益な情報を提供するために作成されました。個々の攻撃対象領域について理解し、ゼロトラストアーキテクチャ等、適切なセキュリティ対策を展開することで、企業は自社のアプリケーションインフラ内で、攻撃者によるデータの窃盗、システムの妨害、またはネットワークを人質にした身代金要求を許す脆弱性が繰り返し発生することを今までよりも適切に防ぐことが可能となります。」

攻撃対象領域の脆弱性はあらゆる規模の組織に影響しますが、従業員数20,000人以上のグローバルな大企業では、ワークフォースやインフラが分散化し、管理が必要なアプリケーション数が増えることから、さらに脆弱性が上がります。問題の規模を適切に理解するため、ゼットスケーラーは53か国を対象に、これらの地域を分かりやすく、アメリカ、EMEA（ヨーロッパ・中東・アフリカ）およびAPAC（アジア太平洋）の3つの地域に分類し、各地域の組織について分析しました。

リスクが高いEMEA（ヨーロッパ・中東・アフリカ）地域
本レポートによると、調査に参加した企業の59%がアメリカを拠点としているものの、全体的な露出や潜在的なリスクが最も多い地域はEMEAであり、同地域から164件のCVE（共通脆弱性識別子）が特定されたことが明らかになりました。EMEAを拠点とする企業のサーバー露出が最も多く平均283件、パブリッククラウドインスタンスの露出は平均52件でした。また、古いバージョンのSSL／TLSプロトコルに対応している傾向が最も高い地域もEMEAであり、平均的に他の地域よりもCVE脆弱性のリスクが高い傾向にありました。EMEAに続いては、CVE 132件のアメリカ（対EMEA比マイナス20%）と、潜在的なCVE脆弱性が平均80件のAPAC（対EMEA比マイナス51%）のリスクが高くなっています。

オンライン上の露出が最も多いのはEMEA地域の企業であるものの、すべての地域が脆弱であり、ITチームは場所にかかわらず、ゼロトラストセキュリティ等のベストプラクティスを取り入れ、攻撃対象領域を最小化し、露出をなくすことが極めて重要であることを示しています。

最も露出が多い業界
本レポートでは、地域データに加え、業界ごとに攻撃対象領域を追跡し、サイバー犯罪者の標的となる可能性が最も高い業界を厳密に特定しました。23の業界から様々な企業を分析した結果、最も脆弱な業界は電気通信業界であり、サーバーで古いバージョンのプロトコルが使用されている平均件数が最も多い事を確認しました。電気通信業界は、インターネットへのサーバー露出の平均数が3番目に多い業界であり、サイバー犯罪者によるDDoS攻撃や二重脅迫ランサムウェア（https://www.zscaler.com/blogs/security-research/threatlabz-ransomware-review-advent-double-extortion）攻撃に狙われるリスクが高くなっています。

また、サーバーやパブリッククラウドインスタンスの平均露出数が最も高い業界は、レストラン、バーおよび飲食サービスベンダー等、ホスピタリティ業界であることも明らかになりました。AWSのインスタンス露出件数は、他のクラウドプロバイダーよりも2.9倍多くなっています。新型コロナウイルス感染症のパンデミックで、多くのレストランがオンライン受注対応に迫られ急いでデジタル決済システムを取り入れた結果、企業と消費者の両者のリスクが高まっています。

攻撃対象領域を削減するための3つの提案
サイバー犯罪者の数が日々増加しているため、企業のITチームは全社的なセキュリティポリシーの一環として攻撃対象領域を最小限に抑える必要があります。ゼロトラストモデル等の包括的なセキュリティ対策を講じなければ、デジタルトランスフォーメーションやクラウド移行の取り組みによって新たな攻撃経路が生まれ、事業継続性、企業の評判および従業員の安全が脅かされることも考えられます。完璧に効果的なアプローチは存在しませんが、ゼットスケーラーは企業のネットワークリスクを最小限に抑えるために、以下の対策を提案いたします。

自社の露出リスクを可視化する：効果的にリスクを緩和するためには、自社で可視化可能な攻撃対象領域を認識することが重要です。クラウドに移行されるアプリケーションが増えているため、インターネットに露出している侵入ポイントを認識することが極めて重要になっています。侵入口が露出していなければ、攻撃されることはありません。
VPNやファイアウォールの弱点を認識する：クラウドやモビリティの時代において、これらの境界ベースのテクノロジーが企業の攻撃対象領域を大幅に増やしています。常に最新版のCVEデータベース（https://cve.mitre.org/）を保持してください。古いバージョンのTLS対応をサーバーから削除し、リスクを減らしてください。
ゼロトラストでアプリを脅威から隠す：Zscaler Zero Trust Exchange™内で保護されるアプリケーションは露出を逃れ、発見されることはないため、攻撃対象領域が解消されます。Zscaler Zero Trust Exchange™を利用することで、ITセキュリティチームは本質的にすべての侵入口（ユーザーやアプリケーション）が信用できないものとして確実に対応すると同時に、ユーザーの生産性向上、リスク緩和、ビジネスアジリティの向上、およびコストや煩雑性の削減を促すことが可能になります。ゼットスケーラーが無料で提供する攻撃対象領域分析ツール（英語）（https://info.zscaler.com/internet-attack-surface-analysis）を使用することで、攻撃者よりも先に社内の攻撃対象領域を発見できます。


本レポートは、「”Exposed”: The world’s first report to reveal how exposed corporate networks really are（”露出” ：企業ネットワーク露出状況の実体を明らかにするための世界初のレポート）（https://info.zscaler.com/resources-ebooks-global-corporate-network-attack-surface-report-jp）」にて日本語翻訳版を確認できます。

なお、ゼットスケーラーが米国で開催したバーチャルカンファレンス「Zenith Live 2021（https://www.zscaler.com/zenithlive）」では、ゼットスケーラーのトランスフォーメーション戦略担当シニアディレクターであるリサ・ロレンジン（Lisa Lorenzin）が、セッション「Secure Access to Private Apps: The Cornerstone to your Zero Trust Journey（プライベートアプリへの安全なアクセス：ゼロトラストへの礎）」で、本レポートの調査結果や、攻撃対象領域分析に使用したツールについて解説しました（英語）。オンデマンドで視聴可能です。


ゼットスケーラーについて
ゼットスケーラー（NASDAQ:ZS）は、顧客企業のアジャイル性、効率性、事業回復力およびセキュリティの強化をサポートするため、デジタルトランスフォーメーションを加速させます。世界最大のインライン型クラウドセキュリティプラットフォームのZscaler Zero Trust Exchangeは、あらゆる場所のユーザ、デバイスおよびアプリケーション間をセキュアに接続することで、サイバー攻撃とデータ消失から数千社の顧客企業を保護しています。Zscaler Zero Trust Exchangeは、世界150拠点以上のデータセンタに分散されたSASEベースのプラットフォームです。

プレスリリース提供：PR TIMES