オンプレ・データベース：企業の 50% が深刻な脆弱性を放置している

Nearly 50% of On-Premise Databases Have Vulnerabilities

2021/09/15 DarkReading — インターネット・セキュリティ企業の Imperva が、過去５年間に収集したデータを分析したところ、全企業の約半数が保有する内部データベースには、既知の脆弱性が存在することが分かった。それらのデータベースにおける公開された脆弱性の平均は 26個であり、そのうち半数以上が Critical もしくは High という、深刻度の高い問題である。

Imperva のブログによると、オンプレミス型の脆弱なデータベースは、企業のファイアウォール内にあることで、ある程度の保護を受けることができる。ただし、既知の脆弱性や未パッチの脆弱性を抱えるデータベースを放置すると、企業ネットワークへのアクセスや、公開アプリケーションを介して、バックエンド・システムにペイロードを配信される可能性がある。パッチが適用されていない脆弱性の多くは、少なくとも３年以上前のものであり、半数以上 (56％) が Critical とされている。

Imperva の Chief Innovation Officer である Elad Erez は、「このレベルの脆弱性を放置すれば、大きな攻撃対象になるだろう。攻撃者の視点から見ると、ネットワークに侵入してデータベースをスキャンすると、おそらく 20以上の脆弱性があるデータベースを見つけることができる。そして、ご存知のように、既知の脆弱性に対するエクスプロイトを見つけるのは、グーグルで検索するのと同じくらい簡単だ」と述べている。

サイバー犯罪者や国家レベルの攻撃者にとって、データは常に最大の関心事である。過去には、攻撃者が内部ネットワークにアクセスして、大量のデータを流出させ、大規模なデータ漏洩を引き起こしたこともある。小売業大手の Target への侵入や、米国人事管理局へのスパイ攻撃、そして最近の MGM Hotels での数千万件の顧客記録が流出した事件などは、いずれも、攻撃者が内部ネットワークにアクセスした後に起こったものだ。

クラウドベースのデータ・ストレージへの移行は、攻撃者の焦点を変えたが、ほとんどの組織は、特に内部のビジネスデータなどの機密情報については、引き続きオンプレミスのデータベースに依存していると、Imperva は強調している。

同社は調査ブログには、「長年にわたり、企業はデータ周辺のシステムやネットワークの保護だけで十分だと考え、境界やエンドポイントのセキュリティ・ツールに対して、優先的に投資してきた。しかし、この問題は広範かつグローバルな問題であるため、このようなアプローチは上手くいかない。企業は、データ自体を真に保護する方法で、データを保護する方法を再考する必要がある」と述べている。

一連のデータは、Imperva Innovation Lab が、社内データベースへの洞察を深めるために、４年以上前にリリースしたデータベース・スキャン・ツールから得られたものだ。このツールは、29,000以上の社内データベースをスキャンし、匿名化されたデータを Imperva に提供した。

このツールにより、企業におけるデータベース・システムには、パッチが定期的に当てられていないことが判明した。また、国ごと、企業ごとで、大きな差異があることも分かった。たとえば、フランスの企業は、最も多くの脆弱性にさらされている。84%のデータベースに、少なくとも１つの脆弱性があり、平均的な脆弱さを持つデータベースは、なんと 72個のセキュリティ問題を抱えていることが分かった。

２位のシンガポールと、３位のオーストラリアは、それぞれ 65％ と 64％ のデータベースに脆弱性を抱えている。しかし、この２つの国の傾向は大きく異なっていた。オーストラリアのデータベースの、平均的な脆弱性はわずか 20件であるのに対し、シンガポールの平均は 62件となる。米国の組織は平均よりも優れており、39% のデータベースに少なくとも１つの脆弱性があるというレベルだ。また、脆弱性のあるデータベースには、平均して 25個の欠陥が存在している。

Elad Erez は、最も深刻な問題の中には、攻撃者がログインせずにデータベースにアクセスできる、認証バイパスの脆弱性もあると指摘している。データをクラウドに移行すれば、より高いレベルのセキュリティを、より安定したかたちで実現できるが、設定ミスが大きな問題になるという。脆弱性が発見された後に、悲惨な結果が判明することも稀にあるに。最近、Microsoft Azure で発見された２つの脆弱性は、他社のクラウド・インフラとデータの、大規模な侵害につながる可能性がある。Elad Erez は、「楽観的な結論もあるが、気になるものもある。クラウドのデータベースは管理が行き届いており、更新も容易であるため、流出するデータベースの数は減少すると考えられる」と述べている。

さらに、彼は、「企業が行うべきことは、データベースを定期的にスキャンして、セキュリティ状態を可視化することだ。データベースのパッチレベルをチェックするための、さまざまなツールが存在している。データ・セキュリティと基本的な衛生管理を忘れてしまった人が、あまりにも多いようだ。このスキャンは、きわめてシンプルなものだ。スキャンして結果が出るまで２分もかからないので、まずはセキュリティ態勢を整え、自分の位置を把握することができるだろう」と述べている。

ちょっと唸ってしまう調査結果です。脆弱性が出るのは仕方のないことなのですが、パッチ適用は省けません。昨日の、「ブルートフォースと脆弱性が人気の突破口：セキュリティ対策にズレは無いか？」にもあるように、マルウェアやランサムウェアの攻撃で、突破口になりかねません。また、「アプリケーションに含まれる Third-Party ライブラリの 79% が更新されていない？」という問題もあります。とは言え、無尽蔵に湧いて出てくる脆弱性に、どのように対応すべきかというと、なかなか難しい問題もありますね。