セキュリティの今日、そして明日を読む

いまさら聞けない「脆弱性」の話(3) ―脆弱性対応のいろは

脆弱性の言葉の意味からIoT機器における脆弱性対応の重要性までを解説するミニ連載「いまさら聞けない脆弱性の話」。第2回は、そもそも脆弱性情報は誰が発見してどこで公開されているか?また、「CVE」や「CVSS」「ゼロデイ攻撃」といった脆弱性をより理解するためのキーワードを通して、脆弱性を塞ぐ重要性に触れました。最終回となる本稿は、今すぐできる脆弱性対応からセキュリティ製品の導入まで、幅広く説明します。

脆弱性対応の基本はやはり、メーカーから提供されるソフトウェアの修正プログラム(パッチ)を適用することです。パッチが適用されるまでの期間はサイバー攻撃者に対して無防備な状態にあります。組織のシステム管理者は適用するパッチの選別、検証、配信の仕組みを整え、無防備な期間を短くすることに努めましょう。一方で、業務用サーバや工場で稼働する産業用制御機器など、すぐにパッチが適用できない場合があります。よく挙げられるのは以下のような事情です。

・検証に時間がかかり作業スケジュールを確保するのが困難
・機器ごとに脆弱性を確認し必要な更新プログラムを準備するのに時間と手間がかかる
・サポート期限が過ぎた古いOSを継続利用しており、メーカーから修正パッチが配布されない

パッチが適用できない場合であっても取り得る対応があります。対応せずそのまま放置することは避けるべきです。例えば、第1回で紹介したコンピュータウイルス「WannaCry」の場合は、TCPの445番ポートを利用するため、ファイアウォール等でこのポートを閉じれば一時的に被害を防ぐことができます。このような脆弱性の詳しい情報は、第2回で紹介した脆弱性の識別子「CVE」を検索することで得られます。最新の脆弱性情報を収集し、リスクを避ける方法を検討することは重要です。なお、脆弱性の深刻度は経年変化します。以前は存在しなかった攻撃コードが現在では存在している、対応情報が公開された、などの変化によるものです。最新の脆弱性情報の収集は、上述したパッチ未適用期間の対応検討に役立つだけでなく、大きな変化があった場合にもたらされるリスクを再評価することにもつながります。
(2021年1月に掲載)

レポート