老朽ソフトの放置でサイバー攻撃?
日本経済新聞によると、企業がホームページ運営などに使うサーバや基幹パソコンを調べたところ、サイバー攻撃の恐れのある古いソフトが世界の機器の5割で放置されていることが分かったそうです。
日本ではWindowsを搭載するサーバ・パソコンで脆弱性の放置割合が高いとのことでした。
Windowsは他のソフトウェアよりも企業全体を動かす重要なシステムに使われている比率が高く、サイバー攻撃をされた場合の深刻度が大きいとされています。
実際、サイバー攻撃を受けて情報が漏洩した場合の経営リスクは年々大きくなっており、国内においては4月施行の改正個人情報保護法で報告義務が課せられ、 欧州の一般データ保護規制(GDPR)では巨額の制裁金を科せられるケースも報道されています。
<参考元:日本経済新聞(2022年1月23日朝刊)>
ここでは老朽化ソフトの放置が何故危険なのか、そしてその対策について調べてみました。
- 脆弱性とは
総務省の運営する「国民のための情報セキュリティサイト」では、脆弱性について以下の通り説明されています。
「脆弱性(ぜいじゃくせい)とは、コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥のことを言います。脆弱性は、セキュリティホールとも呼ばれます。脆弱性が残された状態でコンピュータを利用していると、不正アクセスに利用されたり、ウイルスに感染したりする危険性があります。」
(参考元:総務省 国民のための情報セキュリティサイト) - 老朽化ソフトの放置は危険?
通常、OSやソフトに脆弱性が発見されると、開発メーカーが更新プログラムを作成し、提供します。したがって、ソフトの新旧に関わらず、適切なアップデートを行わないままソフトを放置することは、次々に生まれる脆弱性に対する対策が取られていない状況を生み出し、非常に危険な状態だと言えます。 - サイバー攻撃のリスクをさげるためにすべきこと
常にOSやソフトウェアの更新情報を収集すること、そしてできる限り迅速にアップデートを行うことが重要です。しかし現実には人材不足や予算不足を背景に、放置されている例が多いようです。特にインターネット上で公開しているサーバの場合には、脆弱性を突いた不正アクセスによる情報漏洩や悪用のリスクも高まります。組織内で適切な対策が取れないのであれば、専門家に任せるのも選択肢のひとつと言えます。 - おすすめの対策はSaaSの利用
SaaSであれば、組織内にサーバを保有する必要がありませんので、OSやソフトウェアの更新も自分たちでする必要はありません。当社のSaaS提供しているMoodleはOSSの中でも非常に活発なコミュニティに支えられていますので、信頼性、安定性が高いと言われています。常にセキュリティパッチを含む新しい機能の追加や改善、バグの修正が行われ、アップグレードされていますので、安心してご利用頂けます。またサーバのOSも専門家が必要に応じて更新しておりますので、サイバー攻撃のリスクを低減できます。組織のセキュリティ強化をご検討であれば、SaaSのご利用をおすすめします。