脆弱性管理の現状と課題
企業が対応すべき脆弱性管理のポイントを解説
近年、サイバー攻撃の脅威がますます高まるなか、企業が保有する情報資産を守るために脆弱性管理は欠かせないものとなっています。脆弱性への対策が十分でないと、悪意のある第三者による脆弱性を狙った攻撃を招き、情報漏えいをはじめとした甚大な被害につながりかねません。ここでは、脆弱性の基礎知識を解説するとともに、脆弱性管理の具体的な進め方、企業が対応すべき脆弱性管理のポイントについて詳しくご説明します。
脆弱性とは
脆弱性とは、コンピューターのOSやソフトウェア、ハードウェアにおける情報セキュリティ上の欠陥・弱点を指す言葉です。脆弱性が発生する原因は、初期設定や設計時にメーカー側で起こるミスの場合もありますが、ソフトウェアアップデートのようなパッチ適用を忘れていた、といったユーザー側のミスの場合もあります。
米国政府向けの技術支援や研究開発を行う非営利組織MITRE Corporationが中心となって整理された分類によると、脆弱性がビュー(View)、カテゴリー(Category)、脆弱性(Weakness)、複合要因(Compound Element)の4つのタイプに分類されており700個以上の脆弱性が記されています。どの脆弱性も不正アクセスやデータ改ざん・流出、マルウェア感染を引き起こすリスクがあり、脆弱性の適切な管理・対応が不可欠です。
脆弱性は日々新たなものが報告されており、IPA(独立行政法人情報処理推進機構)が公表する「脆弱性対策情報データベースJVN iPediaの登録状況 [2022年第1四半期(1月~3月)]」によると、期間内に登録された脆弱性の件数は、クロスサイトスクリプティング(CWE-79)が443件、境界外書き込み(CWE-787)が271件、不適切な権限管理(CWE-269)が161件、不適切な入力確認(CWE-20)が130件、解放済みメモリの使用(CWE-416)が118件でした。
脆弱性によるリスクと脆弱性管理の必要性
自社が保有するIT資産に脆弱性が存在すると、悪意を持った攻撃者はそこを狙ってシステムやソフトウェア、ハードウェアに不正アクセスしたり、データを盗んだり破壊したりする可能性があります。サイバー攻撃による被害は、業務停止や損害賠償などビジネスへの直接的な被害はもちろん、顧客や取引先への被害、社会的信用の失墜など、非常に広範囲なものとなりかねません。
脆弱性に対しては、OSやソフトウェアのアップデートといった対応が基本です。ただし、一度脆弱性の対策をしたとしても、また新たな脆弱性が発見される可能性があり、脆弱性を完全に防ぐことはできません。
また近年は、脆弱性が発見されてメーカーが修正プログラムを配布するまでの間に、その脆弱性を狙う「ゼロデイ攻撃」と呼ばれる攻撃手法が増加しています。常にOSやソフトウェアの更新情報を収集して、できる限り迅速にアップデートを行うといった形で、持続的に脅威を監視、検出する対応が重要です。
脆弱性管理の実施方法
「脆弱性管理」は企業が保有するITシステムやデータを守るために必要な活動で、想定されるリスクを未然に防ぎ、仮にリスクが発生した場合でも損害を最小限にとどめるために重要なプロセスです。具体的には以下のようなステップで実施します。
① IT資産の現状把握
まずは、企業が保有するIT資産(ハードウェアやソフトウェアなど)の現状を把握する必要があります。どのIT資産がどのように構成されているかを明確にすることで、脆弱性管理の対象範囲を正確に特定しましょう。
② 脆弱性に関する情報収集
IPAやJPCERT/CC(一般社団法人 JPCERT コーディネーションセンター)などが公開する脆弱性情報データベースや脆弱性診断ツール、専門のセキュリティ情報サイト、セキュリティベンダーによって提供される情報を用いて、自社のIT資産に関する脆弱性の最新情報を収集します。
ここでは、複数の情報を確認するとともに、メーカーの提供する一次情報を確認することが重要です。日本語の公開情報だけではなく、海外の情報も積極的に収集すると情報の精度がより高まります。
③リスク評価
脆弱性が明らかになったら、リスク評価を行います。リスク評価とは前工程で明確になった各脆弱性が第三者に悪用された場合に、どのような影響があるかを評価することです。
ヒト・モノ・カネの経営リソースは有限であり、すべてのリスクに等しく対応することはできません。そのため、事態が発生した場合の影響の大きさ(損害の大きさ)と事態の起こりやすさ(発生確率)の2つの要素でリスクを分析し、優先順位をつけて対処する必要があります。
④ 対処
脆弱性に対処する方法はさまざまです。例えば、脆弱性が存在するソフトウェアのアップデートを行う、脆弱性を修正したパッチを適用するなどの方法が挙げられます。
また、脆弱性が存在するシステム設定の変更や、ネットワークセキュリティの強化もあります。
⑤ 記録・管理
最後に、脆弱性管理の実施結果や対処内容などを記録し、管理しましょう。これによって、脆弱性管理の改善点を把握したり、将来の脆弱性対策の参考にしたりすることができます。
脆弱性管理のポイント
効果的に脆弱性管理を実施するためのポイントとして、以下の3つが挙げられます。
定期的な脆弱性診断の実施
日々更新される脆弱性情報を収集するのは重要ですが、攻撃者に狙われる脆弱性の箇所や攻撃者が用いる手法の選択肢が多いため、機械的に脆弱性を確認できる脆弱性診断を実施するのが有効です。脆弱性診断とはセキュリティ対策企業などが提供している診断サービスで、模擬攻撃によって社内システムやネットワークに脆弱性が存在していないかを調査します。
診断方法にはツールを用いた診断のほか、診断員による手動診断があるので、脆弱性診断の目的やIT資産の特性などに応じて最適な診断方法を選択しましょう。
ゼロトラストモデルの導入
脆弱性管理を徹底することは重要ですが、適切な脆弱性管理が行えていたとしても、ゼロデイ攻撃にはこうした予防的対策は効果がないこともあります。
そこで近年注目されているのが、「何も信頼しない」ことを前提とするセキュリティモデルの「ゼロトラスト」です。従来のセキュリティ対策で意識していた社内外のネットワーク境界を撤廃し、すべての通信を信頼せず、セキュリティ対策を実施します。
具体的には、ネットワークの内外にかかわらずすべての通信経路を暗号化することや、多要素認証の利用によるユーザー認証の強化、ネットワークやそれに接続される各種デバイスの統合的なログ監視などが挙げられます。
ゼロトラストについては「ゼロトラストとは?今注目を集める理由と仕組みを解説」で詳しく解説しています。
サイバーハイジーンの徹底
サイバーハイジーンとは、エンドポイントであるPCをはじめとする端末を常に健全な状態に保つことです。
ファイアウォールやアンチウイルスなど従来のセキュリティ対策と組み合わせて実施することで、セキュリティを網羅的に、より強化することができます。
サイバーハイジーンについては「今の時代こそ求められる サイバーハイジーンの必要性を徹底解説!」で詳しく解説しています。
まとめ:脆弱性を正しく管理しセキュリティ対策を強化しよう
近年のサイバー攻撃では脆弱性を狙った攻撃が増加しており、開発メーカーも脆弱性をなくすよう努力しているものの、完全に脆弱性を排除することは非常に困難な状況です。既知の脆弱性に正しく対処するとともに、新たに脆弱性が公表された場合は早急に対応する、実際に攻撃された際にも迅速に復旧できるように手順を整理するなど、脆弱性が存在する前提のもと複合的な対策でセキュリティ強化を進めましょう。
参考:
