サーバーへの不正侵入やマルウェアの拡散といったサイバー攻撃で、攻撃者に狙われているのはOSやミドルウェア、アプリケーションに潜む「脆弱性」です。そのため、脆弱性が発見されたときには、すばやくパッチを適用するなどの対処が必要となります。しかし、実際には多くの企業が脆弱性を突いたサイバー攻撃で被害を受けています。
脆弱性による被害を防ぐための「構成管理」「脆弱性管理」という管理手法について、NTTコミュニケーションズのセキュリティ・エバンジェリストである竹内 文孝氏に話を聞きました。
情報処理推進機構(IPA)は「情報セキュリティ10大脅威 2018」を発表し、ランキング形式で今年注意すべきセキュリティ上の脅威を明かしました。
ランキングは個人と組織の2つのカテゴリに分かれており、組織のランキングで注目されているのが、前年ランク外から4位にジャンプアップした「脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加」です。
OSやアプリケーション、ミドルウェアなどに脆弱性が発見されたとき、通常はセキュリティ機関や開発元のベンダーなどがその情報を公開し、脆弱性を解消するためのパッチが提供されます。しかし場合によっては、パッチの開発に時間がかかったり、ユーザー都合で即座に適用できない(しない)といったケースもあります。このように、脆弱性情報の公開からパッチ適用までの間隙を縫って行われる攻撃が大きな脅威となっているわけです。
NTTコミュニケーションズのセキュリティ・エバンジェリストである竹内 文孝氏は、脆弱性情報が公表されてから、それを利用した攻撃を行うためのコード(攻撃コード)が出現するまでの時間が年々短縮されていると指摘します。
「例えば2000年に大きな騒ぎを起こしたワームの一種『NIMDA』が利用した脆弱性は300日以上前、2002年に大流行した同じくワームの『Slammer』も半年以上前の脆弱性を利用していました。しかし2013年に発見されたソフトウェアフレームワーク『Apache Struts2』の脆弱性では、翌日には攻撃コードが出回っています」
一方、昨年大きな話題となったランサムウェアの「WannaCry」は、数カ月前に発覚した脆弱性を利用していました。この背景には、脆弱性を解消する修正プログラムやパッチが提供されても、それを適用せずに運用するユーザーが多いことを表しています。
「脆弱性の公開から即座に攻撃されることがある一方、修正プログラムを適用していないシステムを狙った攻撃も発生しています。こうした背景から、IPAのランキングにおいて脆弱性の悪用がランクインしたのではないかと思います」(竹内氏)
社内で数多くのシステムが利用されている現在、それらを適切に把握し、必要なパッチを即座に提供する体制を整えるのは容易ではありません。
特に社内に数十、数百といったシステムがある場合、1人のシステム担当者がすべてを管理するのは現実的ではなく、複数の担当者で管理する体制にするのが一般的でしょう。さらに脆弱性の管理やパッチの適用までをそれぞれの担当者に任せている状況では、脅威への対応は担当者のスキルや稼働状況に影響を受けることになります。
例えば、あるシステムに影響する脆弱性が発見され、パッチも提供されているといった状況があったとしましょう。この際、担当者が脆弱性情報を見逃した、あるいは理解力不足から自身が管理するシステムには影響がないと誤判断してしまえば、脆弱性が放置されるといったことが起こりかねないわけです。
このように、脆弱性への対応を個々のシステム担当者に任せているような状況を放置すれば、経営にも大きな影響を及ぼしかねません。
「深刻な脆弱性が発見されたとき、自社にどの程度の影響があるのかを把握したいと考えても、システムの数が数百にも及ぶ企業では、調査だけで数週間を要します。しかも、その情報が100%網羅できているかどうかの判断も難しいでしょう。情報システム部門が把握していない、闇システムがあることも考えられるためです。こうした状況では、発見された脆弱性のリスクを適切に捉えることができず、事業継続のための経営判断もできないということになってしまいます」(竹内氏)
脆弱性が適切に管理されていなければ、新たに発見された脆弱性への対応が後手に回って攻撃を受けるなどといったことにもなりかねません。そこで必要となるのが、社内で使われているシステムなどを適切に把握する「構成管理」と、脆弱性情報を収集して自社のIT環境への影響を把握する「脆弱性管理」です。
構成管理は、社内でどのようなシステムが運用されているのか、そこではどのようなソフトウェアが使われているのかを適切に把握し、それらシステム情報と発見された脆弱性情報を突き合わせます。このように社内のどのシステムに脆弱性があるかを把握することにより、新たに脆弱性が発見された際の影響を判断するための脆弱性管理も実現できるようになります。
さらに竹内氏は、システムを管理するためのフレームワーク作りも重要だと語りました。
「システムのライフサイクルに、セキュリティのチェックポイントを設ける。そこを通らなければ次の工程に進めない、あるいは予算が下りないといった規定を設けるといった方法があります。開発を行う際にはまず企画・設計を行い、了承を得た上で開発をスタートする。そのシステムをリリースする際には、資産管理データベースに登録されているか、担当者が明確になっているか、セキュリティ監視の対象としているのかなどを確認する。それがすべて整っていればリリースを許可する。そういったフレームワークを作れば、構成管理の網羅性を高めることが可能になり、いわゆる闇システムへの対策になります」
構成管理および脆弱性管理においては、情報の陳腐化も問題となります。脆弱性は特定のバージョンにのみ存在することが珍しくありません。しかし、資産管理データベースに登録されているソフトウェアのバージョンが現状に即していなければ、発見された脆弱性の影響を受けるのかどうかを判断できないといったことが起こるためです。その対策として、竹内氏は「定期的な脆弱性診断」を提案します。
「特に現在のシステムは、担当者が意識していなくても自動でパッチが適用されるなど少しずつ構成が変わっていきます。脆弱性診断では、実際に使われているソフトウェアの種類やバージョン情報も明らかになるのですが、それを定期的に行い、最新の資産管理データベースに反映することで情報の陳腐化を防ぐことができるでしょう」
脆弱性への対応という意味では、危険度に応じた対処についてもあらかじめ検討しておくべきです。たとえばリモートでの攻撃が可能な脆弱性で、なおかつすでに攻撃コードが出回っているなど、危険性の高い脆弱性であれば即座にネットワークから切り離してパッチを適用する、そこまで危険性が高くなければ何日以内にパッチを当てるなどといったルールを決めておけば、システム担当者は迷うことなくアクションを起こせるでしょう。
セキュリティレベルの向上において、構成管理や脆弱性管理は大きなメリットをもたらしますが、一方で日々公表される脆弱性情報を収集し、それと既存のシステムを突き合わせて影響を調べるといった作業には膨大な労力がかかります。
そこで検討したいのが、構成管理や脆弱性管理を支援するプロダクトやサービスの活用です。具体的には、Qualysの「QualysGuard」やRapid7が提供する「nexpose」、NTTコミュニケーションズの「脆弱性見える化ソリューション」などがあります。
これらのサービスを選択する際のポイントですが、機能面では、構成管理や脆弱性管理に必要な機能が網羅されていることはもちろん、システム情報の二重管理を回避するための既存の資産管理システムとの連携や、システム情報と脆弱性情報のマッチング精度、脆弱性対応を円滑にするワークフローなどが挙げられます。
また、サポート面では、導入時の体制やプロセス整備を行うコンサルティングや、脆弱性情報の提供やパッチ適用などについて問い合わせができるヘルプデスクなどが充実しているのかも重要となります。企業によっては、重要情報であるシステム情報を預けるサーバがどの国にあるのかもチェックポイントとなるでしょう。
WannaCryの例を見るまでもなく、脆弱性を放置してしまうと、大きなインシデントに発展する恐れがあります。一方で、社内で利用しているシステムが増えれば、適切に脆弱性を把握してコントロールするのが難しくなるのも事実です。脆弱性管理を支援するためのサービスは、このような状況を打破する上で有効なソリューションとなるでしょう。
※掲載されている内容は公開日時点のものです。
※掲載されているサービスの名称、内容及び条件は、改善などのために予告なく変更することがあります。
