196 - [´・ω・`] tor3e1.digitale-gesellschaft.ch 2022/11/11(金) 21:07:17.29 ID:tG6HMYw70
とりとり
サイバー防衛、弱点通報窓口導入進まず 欧米企業に後れ: 日本経済新聞
https://www.nikkei.com/article/DGXZQOUC0590E0V00C22A9000000/
https://archive.ph/j9sKh
サイバー攻撃に対する弱点の報告を受け付ける窓口は、日本ではLINEやGMO系など一部の企業の導入にとどまる
日本企業のサイバー攻撃への対策が遅れている。2022年に標準化されたサイバー攻撃に対する弱点の報告を受け付ける窓口の導入状況を調べたところ、世界の上場企業236社で設置されていた。調査時点では日本ではLINEやGMO系など一部の企業の導入にとどまっていた。報告を基に安全性を高めることができるため、体制整備が急務となっている。
日本経済新聞は米金融情報大手ファクトセットが保有するデータベースでサイトのURLが記載されている世界の上場企業約5万5千社を対象に、高い技術力を持ち、善意で企業のサイバーセキュリティーの脆弱性を見抜く「ホワイトハッカー」から報告の窓口を設けているかを調べた。
世界的に報告窓口に使う技術的な標準となった「セキュリティー・ドット・テキスト」と呼ばれる仕組みを使った窓口の有無について7月時点で各企業のメインサイトを調べたところ、236社で窓口が見つかった。
国別に見ると米国が最多で87社。アマゾン・ドット・コムやメタ(旧フェイスブック)などネット企業のほか、インテルやIBM、プロクター・アンド・ギャンブル(P&G)、ホテル大手のハイアット・ホテルズ・コーポレーションなどが設置していた。
英国(18社)、ドイツ(17社)、ノルウェー(16社)、フランス(15社)など欧州各国も設置企業は比較的多く、独メルセデス・ベンツやフォルクスワーゲン、高級ブランドの仏エルメスなどが取り組んでいる。
https://archive.ph/993vk
日本では約4千社のメインサイトについて調査したが、調査時点では上場企業ベースでは設置はほとんどなく、子会社や部署ごとに導入するケースにとどまっていた。セキュリティー・ドット・テキストと別の方法で報告窓口を設ける企業もあるが、日本企業がホワイトハッカーの活用に消極的な現状が浮かび上がった。
世界の標準化団体のインターネット技術特別調査委員会は今年4月、セキュリティー・ドット・テキストの仕様を決定し、報告窓口は今後普及が進むとみられる。窓口を設置しホワイトハッカーからの脆弱性指摘を受けることで、企業はウェブサイトなどの安全性を改善しやすくなる。
LINEは「新標準の普及のために改めて報告窓口を設置した」という。GMOペパボのレンタルサーバー事業の担当者は「会社の代表アドレスなど無関係の連絡先に報告が来ることもあり、見落としてしまうリスクがあった」と報告窓口の設置の理由を語る。
山岡裕明弁護士は「日本企業は発見されたバグや脆弱性が悪用されるという警戒感があるのではないか」と分析する。日本ハッカー協会の杉浦隆幸代表理事は「企業は報告窓口がないとかえってリスクを抱える。コミュニケーションをとる姿勢だけでも示すべきだ」と警鐘を鳴らす。(寺岡篤志、並木亮)