多くの企業がDXに取り組み、デジタル技術を元にしたビジネスモデルを展開するようになったことで、企業のITシステムの重要性はますます高まっています。ITシステムに対しては、「止まらず、継続的に稼働する」「情報漏洩を起こさない」といった能力がこれまで以上に要求されており、外部からの攻撃を防ぐ防御の仕組みづくりが重要となります。
この記事では、ITシステムの穴となる脆弱性について、種類や特性を把握し、適切に対策するための仕組みについて解説します。
脆弱性とは、それを管理するとは
ITシステムに脆弱性があると、外部から悪意ある攻撃を受けてしまう場合があります。
攻撃を受けることでシステム停止、データ漏洩といった被害が発生します。最近では「ランサムウェア」という、攻撃者からデータ復旧のための身代金を要求されるといった、ストレートに金銭に影響する攻撃も発生しています。
被害を防ぐためにはITシステムのセキュリティをしっかり固めることが大切です。 「脆弱性管理」とは、脆弱性の発生状況やITシステムへの影響を日常的に把握し、適切な対策を実施するまでの対応を日々のルーティーンとして確立した業務のことを指しています。
脆弱性は、そんなに問題になるほどあるのか?
管理が必要な「脆弱性」は、日常でどの程度発生しているでしょうか? IPAが発行したレポート「ソフトウェア等の脆弱性関連情報に関する届出状況 2020年第4四半期(10 月~12 月)」によると、ウェブサイトやソフトウェアなどの脆弱性は、ここ10年では多いと1,300件、少なくても600件報告されています。
脆弱性とその対策を知るにサービスはあるのか?
「脆弱性」が発見された場合、一般的には以下のように周知、対策されます。
①セキュリティ機関への報告
メーカーは、ソフトウェアの脆弱性を発見した場合、公のセキュリティ機関に報告します。国内の場合は、IPA(https://www.ipa.go.jp/)やJPCERT(https://www.jpcert.or.jp/)などがあります。
②脆弱性情報の公開
セキュリティ機関では、脆弱性に関する情報を「脆弱性対策情報データベース」などに公開し、利用者に対して注意と対策を促します。 国内の場合「JVN iPedia」、米国の場合「NVD」などが有名です。
③脆弱性対策
メーカーは脆弱性の穴を塞ぐ「パッチ」というプログラムの作成、配信などの対策を行います。
・脆弱性情報データベースに公開される情報の例
JVNDB-2022-001493
Adobe Reader および Acrobat における境界外書き込みに関する脆弱性
脆弱性対策は公開されている。それでも管理が必要な理由とは、話題のNISTとは
脆弱性に関する情報源として、JVN や JVN iPediaといったデータベースが利用可能ですが、同時に自社でも管理を行うのはなぜでしょうか? 理由としては、ITシステムの複雑さと、脆弱性対策のスピードの2点があります。
①ITシステムの複雑さ
最近のITシステムは巨大化、複雑化の傾向が強く、一般的な脆弱性情報をもとに、「自社の事情(システム構成、ネットワークなど)」を考慮しないと、正確な影響範囲や緊急度が評価できなくなっています。
②脆弱性対策のスピード
これまでは、年に1回脆弱性のチェックを外部に委託している企業が多かったのですが、最近は「ゼロデイ攻撃」をはじめとして、脆弱性の発生からそれを悪用した攻撃の発生が非常に短期間になっており、早い対策が求められるようになっています。
脆弱性に対策するための方法
ここからは、脆弱性を防ぐための情報や手法を紹介します。
脆弱性はその危険度に応じて数値化されている
脆弱性の緊急度の評価は、「CVSS(共通脆弱性評価システム)」が一般的に使用されています。
基本的には数値が高いものが緊急度が高くなりますが、最近は高い数値の脆弱性が多くなっており(2018 年に発表された脆弱性の約 6 割が High 以上、CVSS 7.0 以上)、優先度を決めるのが難しくなっています。
そこで、新たな指標として、「リスクベースの脆弱性管理」といった考え方も出てきています。これは、脆弱性がある資産の性質と脆弱性自体の性質、これらを掛け合わせて評価する考え方です。
脆弱性を検知する手法を理解する
自社のITシステムや機器に脆弱性があるかどうかは、専用の「脆弱性スキャナー」というツールで確認することができます。
①ネットワーク型スキャナー
ネットワーク経由で対象機器の脆弱性をスキャンします。インターネット側からのスキャンなど、攻撃者と同じ環境でチェックすることが可能です。対象機器にログインしてスキャンする「認証スキャン」と、ログインせずにスキャンする「非認証スキャン」の2種類があります。
②エージェント型スキャナー
対象機器に「エージェント」と呼ばれるスキャナーをインストールして脆弱性をスキャンします。スキャナーとのネットワーク接続を考慮せずに使用できますが、スキャン対象のすべての機器にエージェントをインストールする必要があります。
③パッシブ型スキャナー
対象機器を直接チェックするのではなく、対象機器のネットワークトラフィックを傍受し、応答のパターンなどをもとに脆弱性の有無をチェックします。
既存の脆弱性情報を、自社のシステム向けにフィルタリングし、脆弱性管理を容易にするツールなども存在します。主なツールには「MyJVN」「SIDfm」などがあります。
脆弱性の検知・診断を効率的に行うプロセス
実際の脆弱性対応手順は以下の通りです。
①診断対象の特定
情報資産を分類し、診断対象を特定します。
分類は「公開サーバー、ネットワーク機器、クライアントPC」など。
②診断方法の選定
「ネットワーク型スキャン」「エージェント型スキャン」など、診断対象に合った診断方法を選定します。
③診断頻度の検討
脆弱性診断の実施頻度(毎日、週1回など)を検討します。
④脆弱性発見時の対応
優先度の検討脆弱性が見つかった時の対応方針を検討します。
具体的な検討内容は「脆弱性の緊急度」と「対応までの期間」の組み合わせとなります。 脆弱性の緊急度は、CVSS値もしくはリスクベースの脆弱性管理などにより評価します。
脆弱性管理の構築に向けて
脆弱性管理業務の構築に際しての注意点は以下の通りです。
①診断対象
最初は対象を重要度の高い機器に限定し、業務を早く開始できるようにしましょう。
対象機器の限定には「アタックサーフェス」を意識しましょう。「アタックサーフェス」とは、攻撃の対象となりうる機器やサービス、ポートなどを指しています。
②診断方法
システム構成によって選択できない診断方法もあることに注意が必要です。(インターネットに接続できないサーバーに対して、ネットワーク型スキャナーを使用する、など)
③診断頻度、脆弱性発見時の対応優先度
すべての脆弱性を迅速に対応することが理想ですが、作業担当者のスケジュールなどを考慮し、継続して運用できる現実的な内容を検討しましょう。
脆弱性対応の後、再スキャンを実行し、正しく対応が実施できていることを確認しましょう。
脆弱性管理(セキュリティパッチの管理)については、ツールやソリューションを活用し、効率良く管理していきましょう。
「MyJVN」の具体的な使い方をなども参考にしてみてください。
脆弱性管理に関して有効活用したいツール・ソリューションを紹介
ここからは、脆弱性管理に有効なツールを紹介します。
リスクベースでスキャンや管理ができるクラウド型「tenable.io」
「tenable.io」は、Nessus Professionalという世界的に実績のある脆弱性スキャナーを利用した、クラウドベースのソリューションです。
以下のような特徴があります。
●リスクベースでの脆弱性スキャン、管理ができます
●OS やソフトウェアベンダーが公開する脆弱性だけでなく、設定の不備に起因する脆弱性の検出ができます
tenable.ioによる脆弱性管理
「tenable.io」による脆弱性管理の概要は以下の通りです。
①アセット検出
クライアントやサーバーだけでなく、NW 機器、 IoT デバイス、クラウドなどの管理デバイスを不足なく検出し、一元的に管理します。
②スキャン
非認証スキャン、認証スキャンの両方に対応しています。
OWASP10に対応したWebアプリケーションのスキャン、コンテナイメージのスキャンなど、様々なスキャンの実施が可能です。
③結果の確認と対策の検討
CVSS値によるスタンダードな評価に加えて、tenable.io独自の評価指標である「PP」に基づく評価が可能です。
評価のダッシュボードへの一覧表示やメール通知などにより、スキャン後の対応をスムーズに行うことができます。
脆弱性管理の自動化ツール、「SIDfm VM」
「SIDfm VM」は、サイバーセキュリティクラウド社が提供する国産の脆弱性管理ツールです。
主な機能は以下の通りです。
①脆弱性の自動検出
エージェントがサーバーにインストールされているソフトウェアを自動検出し、パッチ適用状態を監視できます。
②対策の可視化
各ホストの対策状況を画面にまとめて表示し、漏れなく確認が可能です。
③リスクの自動トリアージ
CVSS値とSRI(独自指標)により、「深刻度」「緊急度」が一目で判別可能です。
④パッチ対応の自動化
ルールの生成によりパッチ適用の自動化が可能です。
⑤集中管理
クラウド、オンプレミス、隔離ネットワーク上のシステムを含めて集中管理が可能です。
独自のSIDfm脆弱性データを有してスキャンを不要に
「SIDfm VM」の大きな特徴として、「日本最大級の脆弱性情報データベースを自社で保有している」があげられます。この特徴により、スキャナーが不要、リアルタイム監視といったメリットを実現しています。
まとめ「セキュリティの上で脆弱性管理は必須、経験あるプロと一緒に進めましょう」
脆弱性をケアし、常にチェック、補修の必要性はご理解いただけたでしょうか、しかしこれらを自分たちの手だけで、経験のないまま行うのは非常に難しいです。
こうした作業は、最初は経験のあるプロからのアドバイスを受けながら、ノウハウを少しずつ自社に蓄積していくのが得策です。また、最新の情報を常にキャッチアップしていく、という点においても、プロの知見を活用するメリットがあります。
是非、プロに相談してみてはいかがでしょうか?
