インフィニティソリューションズ株式会社ブログ

企業のセキュリティリスクはまだまだ高い

米司法省が発表したところによると、ロシア人4名、ウクライナ人1名からなる5人組が、7年間にわたり、十数の企業から情報を盗み出し、その中には1億6000万人分のクレジットカード情報が含まれていたとのこと。InformationWeekの記事より

SQLインジェクションやネットワーク上にマルウェアを配置するなど、様々な攻撃手法を使っていたという。

‘”Those who have the expertise and the inclination to break into our computer networks threaten our economic well-being, our privacy and our national security,” said U.S. attorney Paul J. Fishman of the District of New Jersey, in a statement. “And this case shows, there is a real practical cost because these types of frauds increase the costs of doing business for every American consumer, every day. We cannot be too vigilant and we cannot be too careful.”‘

「『我々のコンピュータネットワークに侵入するための知識があり、侵入したいとおもう人間が、健全なる経済活動、プライバシー、国家安全を脅かしている』とニュージャージーの弁護士Paul J. Fishman氏は声明で述べている。『この種の詐取は、日々米国の消費者1人1人に対してビジネスを行なうためのコストを引き上げるため、今回の事件は実際にコストが上がることを示しているものだ。用心深過ぎることもできないし、注意しすぎることもできない。』」

security

‘However, San Diego State University MIS professor Murray Jennex suggests that companies believe they canbe too vigilant and careful, at least in terms of security spending. Despite recent improvements in dealing with SQL injection attacks and other hacking techniques, made after the defendants were engaged in their alleged conspiracy, he said many companies are still susceptible because they don’t test their systems adequately and they don’t spend enough money on security.’

「しかしながら、サンディエゴ州立大学のMISの教授Murray Jennex氏によれば、少なくともセキュリティに関する費用に関して、企業は用心深過ぎ、注意しすぎでよいと考えるべきだとしている。少なくとも被告らが情報漏えいに関与した後、SQLインジェクション攻撃やその他のハッキング技術への対応は向上しているものの、多くの企業は適切に自システムをテストしておらず、セキュリティに金をかけていないため、攻撃を受けやすい。」

“We’ve had economic issues so people haven’t put as much money into security as they should,” Jennex said in a phone interview. Computer security, he explained, doesn’t generate revenue, so it’s often not a priority, and risk assessments are only as good as the people who conduct them.

「『経済的な問題があったため、セキュリティの十分な費用を費やしていない』とJennex氏は電話インタビューで語っている。同氏によれば、コンピュータセキュリティは売り上げを生まないため、優先度が低く、リスク評価は、評価した人のレベルに依存している。」

Both small and large companies could do more, Jennex argues. “We do audits in small companies and what we still find, over and over again, is that companies don’t really understand the way hackers attack,” he said.

「Jennex氏によれば、中小企業であれ、大企業であれ、やれることはあるはずだという。『小企業を監査しているが、まだその過程で何度も発券することは、企業がハッカーがどのような攻撃を仕掛けてくるかを十分に理解していない』」

And even in large companies with substantial IT resources, there’s a tendency to do something less than due diligence. Many large companies, Jennex said, rely on open source software but fail to adequately examine the code they’re implementing. “If you don’t do your research and validate the code, you may overlook vulnerabilities,” he said.

ITリソースが現存する大企業といえども、デューデリジェンスほどの対応をしていない傾向になる。多くの大企業は、オープンソースソフトウェアに依存しても。実装するコードを適切に吟味できていない、と同氏。『コードを調査し検証しなければ、脆弱性を過小評価していることになるかもしれない』」

Image courtesy of Stuart Miles at FreeDigitalPhotos.net