eSecurity Planetは12月7日(米国時間)、「Average Fortune 500 Company Has 476 Critical Vulnerabilities|eSecurityPlanet」において、フォーチュン500の企業において、1社平均で476件の重大な脆弱性が存在すると伝えた。セキュリティベンダーであるCyberpionがフォーチュン500の企業のうち、471社の公開資産およびインターネット向け資産を分析したところ、14万8,000以上の脆弱性が発見された。

  • Average Fortune 500 Company Has 476 Critical Vulnerabilities|eSecurityPlanet

    Average Fortune 500 Company Has 476 Critical Vulnerabilities|eSecurityPlanet

フォーチュン500の98%に致命的な脆弱性を持つ内部資産があり、95%に期限切れの証明書があり、85%にHTTPでアクセスできるログインページが公開されていることが調査により明らかとなった。また、62%の企業がリスクの高い接続を有しているとされており、企業平均では8つ、最も脆弱な企業では350もの接続を有していることも確認されている。

調査を行ったCyberpionはこの結果に対して、新技術の採用や従業員および顧客の分散、サードパーティーパートナーの関与が増え続ける中で、資産がITチームやセキュリティチームに連携されず、管理されないことが多くなってきているためと分析。受け入れがたいレベルのリスクになってきていると警告している。

さらに、米国防総省(DoD: United States Department of Defense)の請負業者がセキュリティ上の問題を抱えていることも報告されている。セキュリティベンダーのCyberSheathがDoDの請負業者である300社のセキュリティ調査を行ったところ、87%が米国防衛連邦調達規則補足(DFARS: Defense Federal Acquisition Regulation Supplement)の基本的な要件を満たしていないことが明らかとなった。

米国防衛産業基盤(DIB: Defense Industrial Base)については、約80%が脆弱性管理ソリューションを未使用、79%が包括的な多要素認証(MFA: Multi-Factor Authentication)を未使用であり、73%がエンドポイント検出応答(EDR: Endpoint Detection and Response)ソリューションを、70%がセキュリティ情報イベント管理(SIEM: Security Information and Event Management)を導入していないことがわかった。

調査を行ったCyberSheathはこの結果に対して、現在の米国国家安全保障に対する明白かつ危険性を表していると指摘。防衛産業基盤はDoDのサプライチェーンであり、サイバー攻撃を受ける危険性があるにもかかわらず、請負業者がセキュリティに対していかに準備不足であることがわかったと述べている。