セキュリティ上の脅威となる脆弱性に対しては、定期的な脆弱性診断を行い放置しないことが大切です。そして、脆弱性診断のあとには診断に基づく対策を行っていきます。脆弱性は把握するだけでは意味がなく、対策までをセットにして、情報漏えいのような重大なトラブルを防がなくてはなりません。ここでは、サイバー攻撃の被害を防ぐために必要不可欠な脆弱性対策について、具体的にどのように進めればよいのかを解説していきます。
脆弱性対策の進め方
脆弱性診断により脆弱性の存在が判明したら、対策を行わなければなりません。そのためには、その脆弱性がどういうものかを調べ、危険度や影響を分析する必要があります。
脆弱性診断についての詳細は、「脆弱性診断でわかること、ツールを選ぶときのポイント」を参考にしてください。
脆弱性の情報収集
まずは、セキュリティの脆弱性に関する情報を集める必要があります。情報システム部門は、使用しているソフトウェアの脆弱性情報を定期的に確認しましょう。
ソフトウェア製品の脆弱性に関する情報は、次のようなWebサイトから確認可能です。ただし、脆弱性情報については正確さを重視する必要があります。複数のWebサイトや報道をチェックしたうえで、必ず一次情報や公式サイトの情報を確認しましょう。
- 製品開発者の製品情報ページ
それぞれのソフトウェアの公式サイトを確認しましょう。脆弱性についての調査の進捗状況や対策などが掲載されます。
- JVN(Japan Vulnerability Notes)
脆弱性対策情報のポータルサイトで、日本で使われているソフトウェアについての脆弱性やその対策についての情報を提供しています。
Japan Vulnerability Notes
- JVN iPedia
JVNが提供している脆弱性対策情報データベースです。国内外問わず、脆弱性対策情報を蓄積・公開しています。
JVN iPedia|脆弱性対策情報データベース
- IPA(独立行政法人 情報処理推進機構)
コンピューターウイルスやセキュリティに関係する調査・情報提供を行っています。
IPA 独立行政法人 情報処理推進機構
- ニュースサイト
IT系のニュースサイトでは、脆弱性に関する情報も扱われます。MS Officeのような大きなシェアをもつソフトウェアの脆弱性であれば、一般的なニュースサイトで報道される場合も多いでしょう。
脆弱性の危険度を確認
自社の提供しているシステムや使用しているソフトウェアに脆弱性が発見されたら、社内にどのような影響を及ぼすかを早めに判断します。
脆弱性は、それぞれ危険度や深刻度などのレベルが異なり、企業内での使われ方にも違いがあるものです。そのため、次のようなポイントを確認して脆弱性の危険度を確認し、対策の優先順位を決めます。
- 該当する脆弱性の特徴
- 現在自社のシステムが攻撃されているか
- 現在受けている攻撃にはどのような影響があるか
脆弱性の深刻度は、世界でスタンダードとなっている共通脆弱性評価システムCVSS(Common Vulnerability Scoring System)により評価可能です。CVSSは、以下のサイトで利用できます。
Common Vulnerability Scoring System Version 3.1 Calculator
脆弱性の影響を分析
CVSSでの評価をもとに、サイバー攻撃を受けた場合は自社のシステムにどれほどの被害が及ぶかの可能性を分析することが必要です。
その分析、および公式に発表された対策案によって、どのような対策が必要なのか決定されます。
普段から行える脆弱性対策
普段から行える脆弱性対策には、次のようなものがあります。
- 脆弱性診断を行い、そのレポートで提示された対策を実行する
- OSやソフトウェアのアップデートを行い、修正プログラムやセキュリティパッチを適用する
- サポートが終了したソフトウェア(OS、アプリケーション、クラウドサービスを問わず)を使用しない
- Webアプリケーションファイアウォール(WAF)を導入する
- セキュリティ対策ソフトを導入する
- IDS(不正侵入検知システム)、IPS(不正侵入防止システム)を導入する
これらは脆弱性の発見にかかわらず、普段から必要な脆弱性対策です。ソフトウェアの種類を問わず一般的に利用できるもので、サイバーハイジーン(衛生管理)の一部と言えるでしょう。これらの対策によって、インシデントの発生を抑えることが可能です。
サイバーハイジーンについて「今の時代こそ求められるサイバーハイジーンの必要性を徹底解説!」もご覧ください。
また、インシデントおよびインシデントレスポンスについては、「インシデントレスポンスとは?重要性や対応フローについても紹介」もご参照ください。
脆弱性が発見されたときの対応
使用しているソフトウェアに新しい脆弱性が発見されたら、次のような手順で対応します。
脆弱性の存在が明らかになった際の対処手順
脆弱性が発見されたという情報を得たら、情報システム部門では次のような対応を行います。
- 入手した脆弱性情報について、セキュリティ上の問題があるかどうかを調査する
具体的には、例えば次のような問題がないかを確認します。
– 組織内の情報システム上の脆弱性はないか
– 問題が発生する条件は何か
- 問題がどのような影響をおよぼすのかを明確にする
– 脆弱性の影響を想定する
- 対策の方向性を検討する
– 脆弱性の修正方法や回避方法を調査し、検討して決定する
- 対策作業計画の策定
– 方向性が決まったら、対策の作業を行う手順や期間などについて計画を立てる
- 対策の実施
– 計画に基づいて対策を実施する
第三者から指摘された場合
情報システム部門の調査や報道ではなく、第三者からの指摘で脆弱性を発見することもあります。その場合は、通知者、問い合わせ窓口、情報システム部門などの関係者間できちんとコミュニケーションを取ることが必要です。
例えば、問い合わせ窓口で通知を受け取ったら、通知者に速やかに受信確認の返信を行います。また、対策の方向を決定したり、対策を実施したりしたら、その都度通知者に連絡を取り、できる限りの情報を開示しましょう。そうすることで、自社に対する信頼度が上がります。
第三者からの通知には、次の2通りがあります。
- IPAがWebサイトの運営者に通知してくる場合
- ユーザーやその他の第三者がシステムのトラブルや脆弱性を発見し、Webサイトの運営者やサービス提供者に通知してくる場合
トラブルが発生している場合
脆弱性に対するサイバー攻撃があり、すでにトラブルが発生して自社のみならず外部に悪影響をおよぼしている場合もあります。その場合は、次のようにより多くの対策が必要です。
- Webサイトやサービスの停止
それ以上被害が拡大することを防ぎます。
- 脆弱性対策
通常どおり、脆弱性の存在が明らかになった際の対処を行います。
調査、影響範囲の確定、対策の方向を決定、計画策定および実行です。
- 速やかな被害事実の確認と公表
個人情報の漏えいや利用者へのウイルスの配布など、第三者への被害が発生した場合には、できる限りの情報開示を行います。主務官庁への報告も必要です。
- ウイルスの駆除や監視強化
公開しているサーバーやシステムで、一般的なサイバー攻撃に対する対応策を行います。
- 脆弱性の調査
自社の使用しているアプリケーションやサービスのどこかに脆弱性はないか、あらためて丁寧に調査します。また、その結果に従って必要な対策を行います。
まとめ:脆弱性をゼロにすることはできないので継続的に対策を
システムやアプリケーションには、脆弱性となるバグや不具合が必ずあるものです。これをゼロにすることはできません。そのため、サイバー攻撃のリスクを減らすには、こまめに脆弱性診断を行ったり、継続的に脆弱性に関する情報を確認したりして対策を行う必要があります。また、サイバーハイジーンに気を配ることも重要です。それによって、サイバー攻撃のリスクや被害を最小限に抑えることができます。
しかし、企業全体での脆弱性診断やその対策は、情報システム部門だけでは大変です。そこで、脆弱性を管理しやすいツールを導入することをおすすめします。
タニウムの統合エンドポイントセキュリティは、脆弱性診断をはじめとするトータルなサイバーセキュリティを実現します。また統合エンドポイント管理と併用することで、社内すべてのエンドポイントを効率的に管理し、サイバーハイジーンを実現できます。
Taniumプラットフォーム
ブログ記事に関してご質問やご要望がございましたらこちらからお問い合わせください。