NTTコミュニケーションズ

Bizコンパス

サイトメンテナンスのお知らせ(2020年9月23日(水)予定)
IPA情報セキュリティ10大脅威から読み解く、脆弱性対策とは
2018.04.18

短期化する脆弱性の被害を防ぐには?

IPA情報セキュリティ10大脅威から読み解く、脆弱性対策とは

著者 Bizコンパス編集部

対応を後手にしないための「構成管理」と「脆弱性管理」

 脆弱性が適切に管理されていなければ、新たに発見された脆弱性への対応が後手に回って攻撃を受けるなどといったことにもなりかねません。そこで必要となるのが、社内で使われているシステムなどを適切に把握する「構成管理」と、脆弱性情報を収集して自社のIT環境への影響を把握する「脆弱性管理」です。

 構成管理は、社内でどのようなシステムが運用されているのか、そこではどのようなソフトウェアが使われているのかを適切に把握し、それらシステム情報と発見された脆弱性情報を突き合わせます。このように社内のどのシステムに脆弱性があるかを把握することにより、新たに脆弱性が発見された際の影響を判断するための脆弱性管理も実現できるようになります。

 さらに竹内氏は、システムを管理するためのフレームワーク作りも重要だと語りました。

「システムのライフサイクルに、セキュリティのチェックポイントを設ける。そこを通らなければ次の工程に進めない、あるいは予算が下りないといった規定を設けるといった方法があります。開発を行う際にはまず企画・設計を行い、了承を得た上で開発をスタートする。そのシステムをリリースする際には、資産管理データベースに登録されているか、担当者が明確になっているか、セキュリティ監視の対象としているのかなどを確認する。それがすべて整っていればリリースを許可する。そういったフレームワークを作れば、構成管理の網羅性を高めることが可能になり、いわゆる闇システムへの対策になります」

 構成管理および脆弱性管理においては、情報の陳腐化も問題となります。脆弱性は特定のバージョンにのみ存在することが珍しくありません。しかし、資産管理データベースに登録されているソフトウェアのバージョンが現状に即していなければ、発見された脆弱性の影響を受けるのかどうかを判断できないといったことが起こるためです。その対策として、竹内氏は「定期的な脆弱性診断」を提案します。

「特に現在のシステムは、担当者が意識していなくても自動でパッチが適用されるなど少しずつ構成が変わっていきます。脆弱性診断では、実際に使われているソフトウェアの種類やバージョン情報も明らかになるのですが、それを定期的に行い、最新の資産管理データベースに反映することで情報の陳腐化を防ぐことができるでしょう」

 脆弱性への対応という意味では、危険度に応じた対処についてもあらかじめ検討しておくべきです。たとえばリモートでの攻撃が可能な脆弱性で、なおかつすでに攻撃コードが出回っているなど、危険性の高い脆弱性であれば即座にネットワークから切り離してパッチを適用する、そこまで危険性が高くなければ何日以内にパッチを当てるなどといったルールを決めておけば、システム担当者は迷うことなくアクションを起こせるでしょう。

SHARE

関連記事

人材不足、経営者意識改革…セキュリティの課題解決

2016.12.14

解決策がここにある!IT部門のお悩みスペシャル第2回

人材不足、経営者意識改革…セキュリティの課題解決

セキュリティ対策「まず何をすべきか」の最適解!

2016.11.09

サイバー攻撃から企業を守るために今何をすべきか前編

セキュリティ対策「まず何をすべきか」の最適解!

標的型攻撃頻発!セキュリティ対策は経営者の責務

2016.07.01

東大准教授・満永氏が語る!

標的型攻撃頻発!セキュリティ対策は経営者の責務

わずか5時間で攻撃を完遂!?その手口と対策とは

2016.06.08

もはや逃れられない!?セキュリティトラブル

わずか5時間で攻撃を完遂!?その手口と対策とは

在宅勤務に潜む「情報漏えい」の恐怖をどう防ぐ?

2020.05.15

テレワーク導入の“壁”を解決第5回

在宅勤務に潜む「情報漏えい」の恐怖をどう防ぐ?

AWS導入を成功させるには、3つのフェーズの攻略がカギ

2020.04.03

DXを加速させるITシステムの運用改革第20回

AWS導入を成功させるには、3つのフェーズの攻略がカギ

NTTのCISOはどうやって経営にセキュリティを織り込むようにしてきたか

2020.03.19

セキュリティ対策に求められる新たな視点第15回

NTTのCISOはどうやって経営にセキュリティを織り込むようにしてきたか

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」

2020.03.04

セキュリティ対策に求められる新たな視点第13回

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」

セキュリティの専門家が語る「2020の脅威」その傾向と対策

2020.02.14

セキュリティ対策に求められる新たな視点第12回

セキュリティの専門家が語る「2020の脅威」その傾向と対策

「DXレポート」作成者が教える「2025年の崖」を乗り越えるポイント

2020.01.29

デジタルトランスフォーメーションの実現へ向けて第28回

「DXレポート」作成者が教える「2025年の崖」を乗り越えるポイント

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

2020.01.17

セキュリティ対策に求められる新たな視点第11回

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

サイバー攻撃は避けられない。だから「リスク移転」で自社を守る

2020.01.08

セキュリティ対策に求められる新たな視点第10回

サイバー攻撃は避けられない。だから「リスク移転」で自社を守る