早急に備えておくべき「7つ」の新しいサイバー脅威RSA Conference 2017レポート(2/2 ページ)

» 2017年02月17日 12時00分 公開
[高橋睦美@IT]
前のページへ 1|2       

ITアーキテクチャの変化に伴って誕生した「新たな」脅威

 最後にヨハネス・ウルリッヒ(Johannes Ullrich)氏が、主にITエンジニアが留意すべきポイントを挙げた。

 5つ目の課題としてウルリッヒ氏は、「乱数生成器への攻撃」を挙げた。安全な通信には暗号が欠かせず、その暗号アルゴリズムの中で乱数は重要な役割を果たす。もし乱数生成器に問題があり、十分にランダムな鍵が生成できなければ、WPA2を始め、さまざまな暗号通信方式が影響を受ける恐れがあるという。

 6つ目の課題は、「Webサービスにおけるソフトウェアコンポーネントのセキュリティ確保」だ。かつて、OpenSSLなど主要なソフトウェアコンポーネントに重大な脆弱(ぜいじゃく)性が見つかった結果、多くのシステムが影響を受け、管理者が多大な対応に追われたことは記憶に新しい。これと同じことがWebサービスやマイクロサービスの世界で起きないとは断言できないとウルリッヒ氏は述べる。

 「アーキテクチャのニーズが変化し、ITシステムはサーバレスコンピューティングやクラウドへと移行している。その中では、適切なサービスに接続しているか、適切なデータを受け取っているかどうかを知り、検証できることが重要だ」と同氏は述べ、完全性を確認するために、双方向認証や適切なSSLの実装が重要だと訴えた。

 そして最後の課題は、「NoSQLへの攻撃」だ。SQL文で操作する伝統的なリレーショナルデータベースだけでなく、「MongoDB」のようなNoSQLデータベースを採用するシステムも増えている。しかし、「伝統的なデータベースで発生した問題は、NoSQLを操作するXML(Extensible Markup Language)やJSON(JavaScript Object Notation)でも発生する恐れがある」とウルリッヒ氏は指摘し、XMLインジェクションやXML External Entity、バリデーションの欠如といった問題を挙げた。また、Node.jsなどのフレームワークにも脆弱性が発見されていることから、こうした環境においても脆弱性管理を行う必要があるとした。

SANSのリサーチャーが挙げた、「早急に備えておくべき」新たなサイバー脅威

  • ランサムウェア
  • IoT
  • IoT機器を狙うランサムウェア
  • 産業制御システムに対する攻撃
  • 乱数生成器への攻撃
  • Webサービスにおけるソフトウェアコンポーネントのセキュリティ確保
  • NoSQLへの攻撃

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。