このブログをご覧になっている皆さんは情報処理推進機構(IPA)が発表している「情報セキュリティ10大脅威」というランキングをご存じでしょうか。セキュリティに関する事案で社会的に影響が大きかったものをランキング形式に紹介しているレポートです。今回テーマとして取り上げる脆弱性に関わる事案が、近年こちらのランキングのTOP10に必ずランキングしています。こうした脆弱性をついた攻撃の被害に遭わないようにする必要があるのですが、脆弱性の対応と言われても、具体的には何をすればいいのかイメージがつかない人もいると思います。今回は脆弱性をついた攻撃からの対応方法についてフォーカスしてみたいと思います。
脆弱性とはいったい何者なの?
脆弱性とはOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因で発生した情報セキュリティ上の欠陥を指す言葉として使われています。脆弱性の種類には「SQLインジェクション」、「クロスサイトスクリプティング」といった具体的な攻撃名称として取り上げられるものや、「ID、パスワードの権限周りの設定不備」などもあります。脆弱性による被害は様々ですが主に機密情報の漏洩や、意図しないソフトウェアの動作によってサービス提供が不可になるなど、企業の信頼を低下に繋がるものがほとんどです。
また、脆弱性をついた攻撃は必ずしも企業だけの問題ではなく、個人もその標的となる恐れがあるため注意が必要です。身の回りを見てみると、携帯電話やTVにとどまらず、最近ではエアコンや照明等もスマートスピーカーと連動させて音声で操作できるようになるなど、インターネットを利用する仕組みがどんどん増えています。IoT技術が発展し、たくさんの機器がインターネットとつながることで色々な便利さを享受できる反面、こうした機器に脆弱性があった際、悪意のある攻撃者からインターネットを経由して攻撃を受けてしまう可能性も高まります。
脆弱性の脅威が身近な存在であることをご認識いただけたのではないかと思います。では、こうした脆弱性に対し、どのように対応していくのが良いか考えてみましょう。
脆弱性への対応とは一体何をすればいいの?
まず、脆弱性をゼロにする方法は存在しません。世の中のセキュリティに関する意識が年々高まっているとは言え、
- システム開発には予算や納期が必ずと言って良いほど存在し、これらとのトレードオフによって結果的に脆弱性が内包されたままリリースされる可能性がある
- 新しい攻撃手法が日々研究されているため、古い知識や常識が通用しなくなる可能性がある
- システムにおいて外部の第三者が提供するツールやライブラリなどを利用している場合、それらのメンテナーやベンダーが修正版を提供してくれるまで待つしかないという状況になる可能性がある
これらの理由により、脆弱性の一切存在しないシステムを維持し続けるのは難しいと考えられています。
そのため、サービスを提供する側は脆弱性に対し、しっかりと対策を取る必要があります。では一体何から始めていけばいいのでしょうか。大まかな脆弱性対策の流れを以下に記載いたします。
- 脆弱性の情報を入手
- 脆弱性の影響範囲を確認
- 対応方針を検討
- 対応方針を実行
ひとつずつ見ていきましょう。まずは「脆弱性に関する情報を入手」についてです。情報を取得する方法は様々ですが、今回は2つの脆弱性に関するサイトをご紹介させていただきます。
・Common Vulnerabilities and Exposures (CVE)
脆弱性を取り扱っているサイトはたくさんありますが、世界で最も有名なサイトになります。MITRE(マイターと読みます)という団体が運営しており、新しい脆弱性が発見されると、「CVE ID」と呼ばれる固有の番号が振られ、共通の脆弱性として公開されます。
・Japan Vulnerability Notes(JVN)
日本で使用されているソフトウェアの脆弱性を取りまとめたサイトになります。JPCERT/CCとIPAが共同で運営しています。IPAが報告を受けた日本国内の脆弱性情報は、JPCERT/CCとベンダーとの間で調整され、JVNへ登録されます。
URL:https://jvn.jp/
上記のサイトに加え、SNSからの情報入手や、JVNに登録されている「mjcheck4」といった脆弱性の情報収集を行うツール等もあるので、これらを活用して脆弱性の情報を知るところからスタートしていくことになるでしょう。
mjcheck4 URL:https://jvndb.jvn.jp/apis/myjvn/mjcheck4.html
次に「脆弱性の影響範囲の確認」です。確認するポイントはこちらです。
・公表された脆弱性は、自身が利用しているソフトウェアや機器に関係するか
・利用しているソフトウェアのバージョンと脆弱性が存在するバージョンとが合致しているか
・脆弱性の攻撃があった際にどのような影響があるのか
まず初めに、公表された脆弱性が利用している環境に影響しているか精査する必要があります。脆弱性の情報を入手したとしても、該当のソフトウェアや機器を利用していない環境であれば対策を取る必要はありませんし、特定のソフトウェアのバージョンのみが対象になっている場合もあります。また、脆弱性が存在していることでどのような影響があるのかも把握しておくと良いでしょう。
これらの確認を行い、実際に対応するとなった際、「対応方針を検討」するためにはどのように動いていけばいいのでしょうか。
脆弱性の対応について調べると以下の4つの言葉をよく目にします。それは、「回避」「軽減」「転嫁」「受容」の4つの言葉です。
・回避 発生が予想されるリスクを事前に回避することや、発生源を無くしリスクが発生する可能性を無くしてしまうことです。例として、脆弱性診断の結果を参考にしてプログラムの脆弱性の根本原因を改修する、Windowsアップデートのようなセキュリティパッチを適用する、などが挙げられます。
・軽減 もし仮に被害があったとしても頻度や影響を現状より抑える方法となります。システムを複数拠点に分散して冗長化を図ることや、脆弱性のあるWebサイトに対してWAF(Web Application Firewall)を導入することが挙げられます。
・転嫁 第三者に責任を移転してしまい自分たちの責任範囲外とする方法です。サイバー保険の加入や脆弱性対策の業務をアウトソーシングする等が対象となります。注意する点は、すべてのリスクを転嫁できるわけではなく、企業の信頼低下等のリスクについては転嫁できません。
・受容 脆弱性への対策を行わず、発生するリスクを受け入れる方法です。対策にかけるコストが見合わない場合は、脆弱性によるリスクの存在を受け入れる方法も1つとして考えられます。
この分類が出来れば、いよいよ「対応方針の実行」です。対象となるリスクに対して、それぞれの対応方針をこの4つのいずれかに定め、1つずつ適切な対処を行っていきましょう。
脆弱性対応における対応方針を決める際のヒント
先に述べたように「回避」「軽減」「転嫁」「受容」のいずれの対応方針とするのかを都度判断していくことが望ましいですが、リスクをこの4つに分類しろといきなり言われても戸惑う方々がいらっしゃるかもしれません。その判断基準としてヒントになりそうな考え方をいくつかご紹介します。
まず1つ目ですが、リスクの「影響度」と「発生頻度」を考慮すると良いでしょう。想定していたリスクが現実のものとなった場合にどれだけ大きな被害を受けるか、あるいはどれくらいの頻度でリスクが現実のものとなるかですね。それぞれを縦軸と横軸にとってグラフを作成したり、表形式にまとめたりすると見やすくなります。
次に2つ目ですが、対策に必要な「コスト」とそれを踏まえた「優先順位付け」です。対策には 時間/人/金 を始めとしたリソースが不可欠ですが、多くの場合これらのリソースは有限です。すべての脆弱性に対して根本的な対策を継続的に実施していくことは確かに理想ですが、限られたコストの中で対処するには取捨選択が必要です。
これらを踏まえて、例えば前述した影響度と発生頻度がどちらも低い場合、対策にコストをかけず、そのリスクを「受容」するという選択肢があっても不思議ではありません。また、リスクへの対策として100%の「回避」を目指すのではなく、リスクを部分的に許容する「軽減」にとどめるといった進め方も考えられます。自社で対策するよりもアウトソースすることでメリットが生まれるようであれば「転嫁」が有力候補となるかもしれません。
まとめ
脆弱性への対応について、情報収集から対応方針までの考え方について説明してまいりました。今日では、全ての脆弱性を取り除くことが難しいため、脆弱性によるリスクをゼロにすることは厳しいと考えられます。影響範囲やコストなどを確認し、優先順位を踏まえて対応方針を決定、実行していくことが重要となります。
脆弱性の問題はこれからもずっと世の中に存在し続けるでしょう。みなさんがこの問題に直面した時、脆弱性対応の知識としてこちらの記事が参考になれば嬉しく思います。
当サイトではWebサイト、モバイル、IoTへの脆弱性のリスクを考えている方や、サイバー攻撃の脅威から守るWAFに興味がある方へ、ダウンロード資料をご用意しております。ぜひ資料をダウンロードいただき、ご活用ください。
