IPA情報セキュリティ10大脅威から読み解く、脆弱性対策とは

　情報処理推進機構（IPA）は「情報セキュリティ10大脅威 2018」を発表し、ランキング形式で今年注意すべきセキュリティ上の脅威を明かしました。

　ランキングは個人と組織の2つのカテゴリに分かれており、組織のランキングで注目されているのが、前年ランク外から4位にジャンプアップした「脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加」です。

　OSやアプリケーション、ミドルウェアなどに脆弱性が発見されたとき、通常はセキュリティ機関や開発元のベンダーなどがその情報を公開し、脆弱性を解消するためのパッチが提供されます。しかし場合によっては、パッチの開発に時間がかかったり、ユーザー都合で即座に適用できない（しない）といったケースもあります。このように、脆弱性情報の公開からパッチ適用までの間隙を縫って行われる攻撃が大きな脅威となっているわけです。

　NTTコミュニケーションズのセキュリティ・エバンジェリストである竹内 文孝氏は、脆弱性情報が公表されてから、それを利用した攻撃を行うためのコード（攻撃コード）が出現するまでの時間が年々短縮されていると指摘します。

「例えば2000年に大きな騒ぎを起こしたワームの一種『NIMDA』が利用した脆弱性は300日以上前、2002年に大流行した同じくワームの『Slammer』も半年以上前の脆弱性を利用していました。しかし2013年に発見されたソフトウェアフレームワーク『Apache Struts2』の脆弱性では、翌日には攻撃コードが出回っています」

　一方、昨年大きな話題となったランサムウェアの「WannaCry」は、数カ月前に発覚した脆弱性を利用していました。この背景には、脆弱性を解消する修正プログラムやパッチが提供されても、それを適用せずに運用するユーザーが多いことを表しています。

「脆弱性の公開から即座に攻撃されることがある一方、修正プログラムを適用していないシステムを狙った攻撃も発生しています。こうした背景から、IPAのランキングにおいて脆弱性の悪用がランクインしたのではないかと思います」（竹内氏）

　脆弱性が適切に管理されていなければ、新たに発見された脆弱性への対応が後手に回って攻撃を受けるなどといったことにもなりかねません。そこで必要となるのが、社内で使われているシステムなどを適切に把握する「構成管理」と、脆弱性情報を収集して自社のIT環境への影響を把握する「脆弱性管理」です。

　構成管理は、社内でどのようなシステムが運用されているのか、そこではどのようなソフトウェアが使われているのかを適切に把握し、それらシステム情報と発見された脆弱性情報を突き合わせます。このように社内のどのシステムに脆弱性があるかを把握することにより、新たに脆弱性が発見された際の影響を判断するための脆弱性管理も実現できるようになります。

　さらに竹内氏は、システムを管理するためのフレームワーク作りも重要だと語りました。

「システムのライフサイクルに、セキュリティのチェックポイントを設ける。そこを通らなければ次の工程に進めない、あるいは予算が下りないといった規定を設けるといった方法があります。開発を行う際にはまず企画・設計を行い、了承を得た上で開発をスタートする。そのシステムをリリースする際には、資産管理データベースに登録されているか、担当者が明確になっているか、セキュリティ監視の対象としているのかなどを確認する。それがすべて整っていればリリースを許可する。そういったフレームワークを作れば、構成管理の網羅性を高めることが可能になり、いわゆる闇システムへの対策になります」

　構成管理および脆弱性管理においては、情報の陳腐化も問題となります。脆弱性は特定のバージョンにのみ存在することが珍しくありません。しかし、資産管理データベースに登録されているソフトウェアのバージョンが現状に即していなければ、発見された脆弱性の影響を受けるのかどうかを判断できないといったことが起こるためです。その対策として、竹内氏は「定期的な脆弱性診断」を提案します。

「特に現在のシステムは、担当者が意識していなくても自動でパッチが適用されるなど少しずつ構成が変わっていきます。脆弱性診断では、実際に使われているソフトウェアの種類やバージョン情報も明らかになるのですが、それを定期的に行い、最新の資産管理データベースに反映することで情報の陳腐化を防ぐことができるでしょう」

　脆弱性への対応という意味では、危険度に応じた対処についてもあらかじめ検討しておくべきです。たとえばリモートでの攻撃が可能な脆弱性で、なおかつすでに攻撃コードが出回っているなど、危険性の高い脆弱性であれば即座にネットワークから切り離してパッチを適用する、そこまで危険性が高くなければ何日以内にパッチを当てるなどといったルールを決めておけば、システム担当者は迷うことなくアクションを起こせるでしょう。

　セキュリティレベルの向上において、構成管理や脆弱性管理は大きなメリットをもたらしますが、一方で日々公表される脆弱性情報を収集し、それと既存のシステムを突き合わせて影響を調べるといった作業には膨大な労力がかかります。

　そこで検討したいのが、構成管理や脆弱性管理を支援するプロダクトやサービスの活用です。具体的には、Qualysの「QualysGuard」やRapid7が提供する「nexpose」、NTTコミュニケーションズの「脆弱性見える化ソリューション」などがあります。

　これらのサービスを選択する際のポイントですが、機能面では、構成管理や脆弱性管理に必要な機能が網羅されていることはもちろん、システム情報の二重管理を回避するための既存の資産管理システムとの連携や、システム情報と脆弱性情報のマッチング精度、脆弱性対応を円滑にするワークフローなどが挙げられます。

　また、サポート面では、導入時の体制やプロセス整備を行うコンサルティングや、脆弱性情報の提供やパッチ適用などについて問い合わせができるヘルプデスクなどが充実しているのかも重要となります。企業によっては、重要情報であるシステム情報を預けるサーバがどの国にあるのかもチェックポイントとなるでしょう。

　WannaCryの例を見るまでもなく、脆弱性を放置してしまうと、大きなインシデントに発展する恐れがあります。一方で、社内で利用しているシステムが増えれば、適切に脆弱性を把握してコントロールするのが難しくなるのも事実です。脆弱性管理を支援するためのサービスは、このような状況を打破する上で有効なソリューションとなるでしょう。

※掲載されている内容は公開日時点のものです。
※掲載されているサービスの名称、内容及び条件は、改善などのために予告なく変更することがあります。