Top 5 security risks for enterprise storage, backup devices
2023/03/23 HelpNetSecurity — 企業向けのストレージとバックアップのデバイスには、平均で 14件の脆弱性が存在し、そのうち3件は、悪用された場合に重大な侵害をもたらす高リスクの脆弱性であると、Continuity はレポートで記している。この調査結果は、企業におけるストレージとバックアップのセキュリティ状況に、大きなギャップが生じていることを浮き彫りにしている。つまり、IT の他のレイヤーのセキュリティに比べて、大きく遅れているかことを示している。
データを狙う攻撃が巧妙になり、大量のデータが危険にさらされ、規制が強化される中で、企業のストレージとバックアップのセキュリティが、緊急の事態に陥っていることは明らかだ。
エンタープライズ・ストレージとバックアップ・システムの安全性
アナリスト会社 Omdia の Data Center Storage and Data Management 主席アナリストである Dennis Hahn は、「企業のストレージとバックアップ・システムの保護は、企業のサイバー・レジリエンス戦略の重要な一部となっている。データに紛失や盗難が発生した場合において、事業継続のための迅速なデータ復旧が重要である。それと同様に、データが存在するあらゆる場所でデータを保護し、ストレージやバックアップ・システム自体を、攻撃の入口とさせないことが重要なのは言うまでもない」と述べている。
このレポートでは、Dell/NetApp/Veritas/Hitachi Vantara/Pure/Commvault といった、主要プロバイダーが提供する 8,589台のストレージ/バックアップ機器を用いる、245件の環境を評価している。
そのうちの、60% 強の組織が銀行部門である。その他の業種としては、ヘルスケア/金融サービス/テレコミュニケーション/メディア/海運業者/IT サービスなどが挙げられる。
エンタープライズ・ストレージとバックアップ・デバイスの脆弱性
合計で 9,996件のセキュリティ問題 (脆弱性/セキュリティ・ミスコンフィグレーション) が検出され、270 以上のセキュリティ原則が適切に守られていなかった。
平均して、企業のストレージ/バックアップ機器には 14件のセキュリティ・リスクがあり、そのうちの3件は高リスクだと評価をされている (悪用されると重大な危険にさらされる)。この結果は、昨年のレポートを同じレベルであり、高リスク分野への対策が講じられていない状況を示している。
イミュータブル・ストレージの導入は増加しているが、適切に実装されていない場合には、誤ったセキュリティ意識につながる可能性がある。そして、残念なことに、これらの機能に特有のミスコンフィグレーションが、この分析では数多く検出された。
ストレージ/バックアップ・システムにおけるパッチ未適用の脆弱性は、その大半がランサムウェアの主たる攻撃ポイントになるものだ。従来の脆弱性管理ツールでは、これらのシステムを適切にカバーできていないという現実を、ユーザー組織は認識していない。
セキュリティ・リスクの Top-5
- 安全ではないネットワーク設定(脆弱なプロトコルや暗号の使用など)
- 未対応の CVE
- アクセス権の問題 (過剰露出)
- 安全ではないユーザーの管理/認証
- 不十分なロギングと監査
Continuity の CEOである Gil Hecht は、「我々は、データストレージとバックアップのセキュリティにおける問題の範囲について、より深い洞察を提供するために、この調査を実施した。平均的な企業のストレージとバックアップのシステムにおける、高レベルの脆弱性とセキュリティの誤設定を定量化することに目的がある。それに加えて、脆弱性と誤設定を修正するために、自動化されたアプローチを積極的に取ることの重要性も浮き彫りにされた」と述べている。
この生地のベースになっている Continuity の The State of Storage & Backup Security Report 2023 を読むと、セキュリティ・リスクの Top-8 までが解説されています。このレポートには、統計値も含まれるので、この領域における問題点が把握しやすくなっています。よろしければ、カテゴリ Storage も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.