ソフトウェアやシステムが内包する脆弱性を狙ったサイバー攻撃による被害が増加しています。悪意のある攻撃から自社の資産や情報を守るには、脆弱性を迅速に排除しなければなりません。しかし企業のITシステムは複雑化しており、クラウドなど環境も多様化していることから、脆弱性を即座に把握・対応することは容易ではないでしょう。この課題を解決するには、適切な脆弱性管理が必要不可欠です。本記事では、脆弱性管理とは何か、実施方法やポイントについて詳しく解説します。
目次
脆弱性管理とは
脆弱性管理とは、社内のソフトウェアやシステムに存在する脆弱性を検出し、対処を行う一連のプロセスを指します。脆弱性はセキュリティホールとも呼ばれ、放置すると脆弱性を狙ったサイバー攻撃による不正侵入などを招き、情報漏洩などの重大な被害を受ける恐れがあります。
脆弱性を発見して排除したとしても、毎日のように世界中で新たな脆弱性が発見されています。常に最新情報を収集し、新たな脆弱性を発見するたびに対処するというプロセスを繰り返す必要があるのです。
脆弱性について詳しくはこちらの記事もご覧ください。
脆弱性とは? 脆弱性の原因とリスク、対策について解説 | ベアケアブログ
脆弱性管理の必要性
IPAによる「情報セキュリティ10大脅威 2022」では、前年10位にランクインしていた「脆弱性対策情報の公開に伴う悪用増加」が6位にランクアップしています。脆弱性対策情報の公開に伴う悪用とは、業界団体やベンダーなどにより機器やソフトウェアの脆弱性情報が公開された後、アップデートなどの脆弱性対応がまだされていないシステムを狙ったサイバー攻撃のことです。
脆弱性情報が公開されてから攻撃が本格化するまでの時間も短くなっていることから、脆弱性を突かれた被害が増加しています。サイバー攻撃によるシステムダウンや機密情報の流出などが起きると、業務停止や社会的な信用失墜など企業が被る損害は甚大なため、事後対応だけではとてもカバーしきれないでしょう。増大するリスクから情報や資産を守るためには、日頃からの脆弱性管理が必要不可欠です。
参考:IPA「情報セキュリティ10大脅威 2022」https://www.ipa.go.jp/security/vuln/10threats2022.html (2022/10/17 確認)
脆弱性管理の実施方法
実際の脆弱性管理は以下のようなプロセスを繰り返し行います。
1. IT資産の検出と分類(構成管理)
まず、社内の情報システムを構成する要素を洗い出します。サーバー、ネットワーク機器、PCなどのハードウェアだけでなく、導入しているOSやソフトウェアのバージョン、ライセンスや保守契約、ベンダーの情報などを洗い出します。これらの情報を、システムの重要度や依存関係などに沿って分類・整理することも重要です。
外部からアクセスできる環境にあるのか、扱っている情報の重要性はどうか、止まった時のビジネスの影響はどの程度か、ミドルウェアやOSのアップデートを行った時にどこに影響が出る可能性があるのか…などを把握しておくことによって、実際に脆弱性に対応する際の優先度の判断などが行いやすくなります。
このプロセスは一般に「構成管理」とも呼ばれます。
2. 脆弱性に関する情報収集・検出
社内のシステム環境に脆弱性が存在しているか知るためには、自社に関係する脆弱性の情報を自ら取りに行く必要があります。脆弱性に関する情報を収集するには、以下のような情報源を活用しましょう。
脆弱性情報サイト
・JVN iPedia(https://jvndb.jvn.jp/)
JPCERT/CCとIPA(情報処理推進機構)が共同で運営する無償の脆弱性情報データベース。脆弱性情報についてJVN独自の識別番号を採番しており、海外で発見された脆弱性については掲載されていない場合があります。
・NVD(https://nvd.nist.gov/general/nvd-dashboard#)
米国NIST(National Institute of Standards and Technology)が提供する無償の脆弱性情報サイト。英語のみでの情報提供になっています。
製品ベンダーのホームページ
脆弱性情報をまとめた注意喚起サイト
・IPA:重要なセキュリティ情報一覧(https://www.ipa.go.jp/security/announce/alert.html)
・JPCERT/CC:注意喚起(https://www.jpcert.or.jp/at/2022.html)
有識者のブログやSNSの投稿
前段で整理した社内システムで使用している機器やソフトウェアの情報と、収集した脆弱性情報を付け合わせ、該当するものがあれば影響のある脆弱性として検出します。
脆弱性を悪用される前に対処しなければならないため、膨大な量の情報の中からスピーディーに検知を行う必要があります。担当者は自社のシステム構成を把握し、関係のある脆弱性情報のみをスムーズに収集しなければなりません。脆弱性診断ツールなどを利用し、定期的に脆弱性のスキャンを実施するのも効果的でしょう。
3. 脆弱性のリスク評価
自社に関係のある脆弱性が明らかになったら、適切に対処するためその脆弱性が組織へもたらすリスクについて評価します。リスク評価には「共通脆弱性評価システム」と呼ばれる、脆弱性の深刻度を共通の基準下でスコアリングしたCVSS(Common Vulnerability Scoring System)を目安にすることが一般的です。
しかし、実際にその脆弱性の影響がどの程度あるのかは状況によって異なってきます。以下はCVSSの評価項目の一部ですが、これを自社に当てはめて考えてみると、脆弱性が該当するシステムがどこに存在するか(公開しているWebサイトなのか、社内のローカルサーバーなのか)や、該当システムの性質、取り扱っているデータの重要性などによって評価を変える必要があることが分かるでしょう。
| 影響範囲 | ←危険度低 危険度高→ | |||
|---|---|---|---|---|
| どこから攻撃可能であるか | 物理アクセス | ローカル環境 | 隣接ネットワーク | ネットワーク経由(インターネットなど) |
| 攻撃が成立する条件の複雑さ | 高 | 低 | ||
| 攻撃が成立するために必要な特権レベル | 高 | 低 | 不要 | |
| 攻撃が成立するために必要なユーザの関与 | 要 | 不要 | ||
| 機密情報が漏洩する可能性 | なし | 低 | 高 | |
| 情報が改ざんされる可能 | なし | 低 | 高 | |
| 業務が遅延・停止する可能性 | なし | 低 | 高 | |
| システムの重要度 | ←危険度低 危険度高→ | |||
|---|---|---|---|---|
| 機密性の重要度 | 低 | 中 | 高 | |
| 完全性の重要度 | 低 | 中 | 高 | |
| 可用性の重要度 | 低 | 中 | 高 | |
スムーズに対応するため、あらかじめ社内でどのような条件となった場合に対応をするのか基準を設定しておくことが望ましいでしょう。
参考:IPA「脆弱性対策の効果的な進め方(実践編)第 2 版」https://www.ipa.go.jp/files/000071660.pdf (2022/10/17 確認)
参考:IPA「共通脆弱性評価システムCVSS v3概説」https://www.ipa.go.jp/security/vuln/CVSSv3.html (2022/10/17 確認)
4. 対処の計画
リスク評価に基づいて、脆弱性に対応する優先順位をつけます。緊急性の度合いはそれぞれ異なるため危険度の高いものから対処すべきです。優先順位が決定したら、適切な対処方法について検討します。脆弱性を修正するパッチや更新プログラムの適用が基本ですが、特定の機能の停止や設定変更、アクセス制限などで対処する場合もあります。
対処方針が固まったら、必要なパッチや更新プログラムの準備や作業手順の確認を行い、スケジュールを決定しましょう。サービス停止が発生する場合は事前に利用者へアナウンスを行います。
5. 対処の実施
決定した対処方針のもと、確認した手順どおりに作業を行います。作業完了後は実施した修正が適用されていることを確認し、停止していたサービスは復旧して利用者へサービス再開通知を行います。
6. 対応についての記録・管理
これまでの一連のプロセスを記録し、各作業や対応結果について全体を通して振り返り、評価します。対応漏れを防ぐことや、次に同じ事象が発生した際によりスムーズに対応するための改善を行うことが目的です。一連のプロセスを一元管理することで、別のシステムで脆弱性が発生した場合に横展開できるメリットもあります。
脆弱性管理のポイント
適切かつスムーズな脆弱性管理を行うためのポイントについて解説します。
ルールや基準を設ける
脆弱性の判断基準が曖昧な場合、リスク評価や優先順位付け、対応方針の決定に遅れが生じ攻撃を受けるリスクが増加します。あらかじめ社内システムの構成を可視化しておき、脆弱性に対するルールや基準を設けておくことでスムーズな対処が可能になるでしょう。また対応作業の属人化を防ぐことにもつながります。
ツールを活用する
脆弱性にスムーズに対応するにはできるだけ早く正確に情報を収集する必要がありますが、情報収集には多くの工数を要します。そこで脆弱性情報を自動的に収集するツールや、自社のシステム構成に合わせた情報のみが配信されるサービスなどを利用するのも有効な手段です。ツールなら人手よりもスムーズに作業ができ、人為的なミスや検知漏れも防げます。ただし誤検知の可能性やゼロデイ攻撃には対処しきれない場合もあるため過信しないようにしましょう。
アウトソースを検討する
毎日のように発生する脆弱性に対応してセキュリティレベルを保つには、多くの人的リソースを要します。セキュリティレベルを保ちつつ、自社のリソースを本来のビジネスを活性化させるコア業務へ投入するには、脆弱性管理を専門業者にアウトソースすることも有効な手段です。豊富なセキュリティ知識や運用ノウハウを持った専門家に脆弱性管理を任せることで、より安全にシステム環境を保護することにもつながります。
まとめ
新たな脆弱性は毎日のように発見され、悪意のある攻撃者は常に攻撃の機会を伺っています。適切な脆弱性管理は、脆弱性を狙ったサイバー攻撃から企業を守る唯一の方法です。しかし脆弱性管理には常に最新情報を収集し対処する必要があるため、社内の人的リソースで対応するには負担が大きいかもしれません。ツールの活用や業務のアウトソースを検討し、業務負荷を軽減することも効果的です。ぜひこの機会に、自社の脆弱性管理のプロセスについて見直してみてはいかがでしょうか。
