慢性的な情報セキュリティ人材の不足、世界的に進化を続けるサイバー攻撃に加えて、日本では2020年に向けて世界から注目が集まることで、国内でのサイバーテロのリスクも高まると予測されています。
そんな中で、ITシステム運用の「効率化や見える化」に貢献するITサービスマネージメント(ITSM)やITオペレーションマネージメント(ITOM)と同じように、フレームワークによって運用を可視化する手法がセキュリティ分野にも拡大しています。
注目されているのが、セキュリティオペレーションマネジメントによる、「継続的な脆弱性管理」です。今回は、これから企業の情報セキュリティをいかに強化すべきかを、セキュリティオペレーションマネジメントの専門家であるServiceNow Japan株式会社(以下、ServiceNow)の高橋卓也氏と、脆弱性管理の専門家である、Tenable Network Security Japan K.K.(以下、Tenable)の阿部淳平氏に聞きます。
脆弱性の管理は、人の手ではもう不可能?
ここ数年で脆弱性管理を取り巻く環境は「劇的に」変化しています。5~6年前までは1年間で発見される脆弱性は数千件程度でしたが、昨今は発見される脆弱性の数が急激に増加。昨年の公表では年16,500件以上報告されています。ServiceNowの高橋氏は、そういった現状に対して、日々、脆弱性の対応に追われている「現場の疲弊」を指摘します。
「脆弱性はCVSS(共通脆弱性評価システム)の10点満点のスコアリングで評価されており、一般的に7点から10点を『危険』として優先順位付けする事があります。しかし、数年前から公表される脆弱性の多くが7点以上となり、昨年は全体の6割、1万件以上を占めています。多くの企業がエクセルシートをベースにした手作業での対応を行っている現状においては、もはや人の手で対応するのは物理的に不可能になっています。結果として、さまざまなソフトウエアにパッチが当たらず、脆弱性を抱えた状態で運用されています。
PCに侵入して身代金を要求するランサムウェアWannaCry(ワナクライ)は2年前に大流行し、すでに広く周知されている対策があるにも関わらず、現場では目の前の業務に忙殺されてしまい、未だにパッチ適用も行えず被害をうける企業があるのが実情です」
セキュリティエンジニアであるTenableの阿部淳平氏は、脆弱性が急増している背景を次のように説明します。
「サーバーやPCのみならず、スマートフォンやIoT機器なども含めてセキュリティ対策が必要な範囲が拡大したことが挙げられます。SaaS普及によるOSやアプリケーションの多様化も影響しています。ベンダーからアプリケーションの脆弱性情報が随時公開されていますが、その情報がサイバー攻撃の標的になることもあり、イタチごっこが続いています」
経済産業省やIPA(情報処理推進機構)などが策定したセキュリティ対策のガイドラインでは、最初に取り組むべきポイントとして、脆弱性管理の徹底を挙げています。さらにNISTと呼ばれるセキュリティの国際標準フレームワークでも、脆弱性管理は重要な対策のひとつとして定義されています。
そういった流れもあり、高橋氏は、企業内での脆弱性管理への意識が変わりつつあると言います。
「脆弱性管理を含むセキュリティ対策を外部委託するケースも多く見受けられます。しかし、いざインシデントが発生したときに最終的に責任を負うのは委託元である企業です。そのため現在、多くの企業で脆弱性管理を専任で行なう担当者を置き、被害を受けてからの対処療法ではなく、まずは被害を受けないように備える脆弱性管理を自社内できちんと行おうという流れになりつつあります」