2021/08/31
海外のレジリエンス調査研究ナナメ読み!
図1は2021年上半期に発見された脆弱性の対象となっている製品の内訳である。ここで「Level 0」〜「Level 3」というのは、ICSのセキュリティーを検討する際によく用いられる「Purdueモデル」における階層のことであり、Purdueモデルは図2のようになっている。
Level 3はパソコンやデータベースサーバーなどで運用管理を行うレベルであり、そのほとんどがソフトウエアの脆弱性となっている。これに対してLevel 1はセンサーやアクチュエーターなどに直接繋がっているPLCなどの機器であり、発見された脆弱性の7割程度がファームウエアに関する脆弱性となっている。これらの中間となるLevel 2は、SCADAなど稼働監視やデータ収集を行うシステムが該当し、ソフトウエアの脆弱性が85%程度を占めている。
本報告書では、Level 1とLevel 2とを合わせて約3割となるところに特に注目されている。その理由は、このような下位レベルの脆弱性を狙って攻撃できれば、機器の動作に直接的な影響を与えることができ、攻撃者にとってより魅力的なターゲットとなるためである。
さらに、下位レベルではファームウエアが脆弱性を抱えている割合が高いことも問題となり得る。一般的にソフトウエアに比べてファームウエアはアップデートしにくい事が多く、機器によってはアップデート不可能な場合も少なくない。このような事情を踏まえて、本報告書では、ネットワークのセグメントを分割する、ネットワークの監視を強化する、リモートアクセスのセキュリティーを厳しくするなどの方法で、下位レベルに攻撃が及ばないような対策を講じることが推奨されている。
海外のレジリエンス調査研究ナナメ読み!の他の記事
おすすめ記事
-
リスク対策.com編集長が斬る!【2024年5月14日配信アーカイブ】
【5月14日配信で取り上げた話題】今週の注目ニュースざっとタイトル振り返り/特集:行動指針の意義
2024/05/14
-
-
情報セキュリティーは個人のリスク目線では通用しない
学生時代からパソコンを使いこなしてきた人が新入社員に多くいる昨今ですが、当然、個人と会社ではセキュリティーの重心が違います。また、人事異動で新たに着任した社員も、業務が変われば情報資産との関わり方が変わり、以前と同じ意識でのぞめばよいとは限りません。新年度にあたり、情報セキュリティーのルールは特に徹底したいところです。
2024/05/10
-
-
サイバーインシデント対応の基本知識と準備
本勉強会では、一般的な情報セキュリティインシデントとサイバーインシデントの違いや、その初動対応について事前に準備すべきことと合わせて、自社で手軽に訓練・演習を実施するためのポイントを解説します。2024年5月8日開催。
2024/05/09
-
-
炎上の原因はSNS上の振る舞いのみにあらず
新年度から仲間に加わった新入社員は「デジタルネイティブ」と呼ばれ、友人とSNS で交流するのがあたり前の世代です。が、学生時代と違い、社会人になれば取り巻く環境が変わり、自身の立場も変わる。うかつな投稿が「炎上」につながるケースは少なくありません。新人研修のテーマにSNSリスクを組み込むなどして教育を徹底したいところです。
2024/05/08
-
リスク対策.com編集長が斬る!【2024年5月7日配信アーカイブ】
【5月7日配信で取り上げた話題】今週の注目ニュースざっとタイトル振り返り/特集:令和5年度企業の事業継続及び防災に関する実態調査
2024/05/07
-
-
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方