みなさまは、「○○会社がサイバー攻撃を受け、事業を停止」といったようなニュースを目にしたことはありませんか?事業、業務にコンピュータを利用するケースが多い現代、サイバー攻撃を受けてしまった企業は大きな被害を被るケースも見られます。このようなサイバー攻撃のきっかけの一つに「脆弱性」があります。
本記事では、脆弱性の概要と、その対策についてわかりやすく解説します。
目次
脆弱性対策には、主に3つのステップがあります。
ステップ1.情報の絞り込み
ステップ2.脆弱性の危険度を確認
ステップ3.自組織への影響分析
ここからは各ステップ毎に実施すべきこと、利用できるツール等を紹介していきます。
まず、組織が使用するシステムやソフトウェアに関連する情報を収集しましょう。このステップでは、脆弱性情報を集め、組織に関連するものを絞り込みます。具体的な情報収集には、以下のソースが役立ちます。
1.CVE(共通脆弱性識別番号:Common Vulnerabilities and Exposures)
脆弱性を識別するための一意の番号です。異なる組織でも同じ脆弱性に関する情報を共有するのに役立ちます。
2.JVN iPedia
日本国内外の脆弱性情報を収集し、提供するデータベースです。詳細な情報を得るのに役立ちます。
情報の絞り込みにより自組織に関連する脆弱性情報を収集したら、それぞれの脆弱性の深刻度を確認します。このステップでは、以下の評価基準を利用して脆弱性の深刻度を判断します。
3.CVSS(共通脆弱性評価システム:Common Vulnerability Scoring System)
脆弱性の深刻度を評価するための共通の評価方法です。数値化されたスコアを使用し、深刻度を評価します。
脆弱性そのものの特性を評価する「基本評価基準」、「基本評価基準」に攻撃コードの出現有無や対策情報が利用可能であるかといった脆弱性の現在の深刻度を加味して評価する「現状評価基準」、さらに、「現状評価基準」に攻撃を受けた場合の二次的な被害の大きさなど製品利用者の利用環境を加味して評価する「環境評価基準」、これら3点の基準を評価するものです。このステップでは、基本評価基準、現状評価基準を参照します。
4.CWE(共通脆弱性タイプ一覧:Common Weakness Enumeration)
脆弱性の種類をカテゴリ別に分類し、攻撃の特性や事例を把握するのに役立ちます。
ここまでに分析をしてきた脆弱性情報に、自組織の環境を考慮した危険度(環境評価)を算出し、最終的な脆弱性の深刻度を評価します。
自組織の環境とは、該当する脆弱性を悪用して攻撃された場合の被害の大きさや、影響を受ける対象システムの範囲などを指します。
[参考]
・IPA脆弱性対策の効果的な進め方(実践編)第2版
https://www.ipa.go.jp/security/reports/technicalwatch/hjuojm0000006nd2-att/000071660.pdf
・CVE https://cve.mitre.org/
・JVN iPedia https://jvndb.jvn.jp/
・共通脆弱性評価システムCVSS概説 https://www.ipa.go.jp/security/vuln/scap/cvss.html
・Common Weakness Enumeration https://cwe.mitre.org/index.html
・CVSS計算ソフトウェア多国語版 https://jvndb.jvn.jp/cvss/
ここまでは、脆弱性の概要、基本的な対策方法について紹介してきました。続いて、脆弱性の種類についてご紹介します。大きく「Nデイ脆弱性」と「ゼロデイ脆弱性」の2種類が存在します。狙われやすい企業や、対策のポイントも少し変わってきます。
ゼロデイ脆弱性とは、攻撃者に未知の脆弱性を発見され、修正プログラム公開前(セロデイ)に存在する脆弱性のことを言います。つまり、世の中に修正プログラムが存在しない、攻撃者のみが知る脆弱性となります。そのため、ベンダーが脆弱性情報、修正プログラムの公開をしない限りユーザがその存在を認知することは困難です。
どちらもシステムを最新バージョンに保つ、EDR等のセキュリティ製品の導入など、脆弱性が発生することを前提とした対策や、修正プログラムが公開されたら速やかに適用することが有効です。
一般に公開しているWebサーバーなど、修正プログラムの適用が難しい場合もありますが、可能な限り早めの修正プログラム適用を心がけましょう。
Nデイ脆弱性とは、脆弱性が発見されたシステムに対して、提供された修正プログラムのリリースと、その修正プログラムが適用されるまでの時間(Nデイ)に存在する脆弱性のことを言います。既知の脆弱性を悪用した攻撃ですが、修正プログラムが適用される前に仕掛けられる攻撃のため、ソフトウェア管理が不適切な企業が標的となりやすい傾向があります。
自組織で利用しているOS、ソフトウェアなどを適切に把握し、該当する脆弱性情報を漏れなく収集することが求められます。
脆弱性情報は「集める」から「送られてくる」時代へ
セキュリティ対応のスピーディ化を支援
https://www.grcs.co.jp/products/z-today