脆弱性はアンチウイルスソフトやファイアウォールで守れるか脆弱性対策・管理入門(5)

脆弱性対策の重要性を基本から説明し、脆弱性スキャナー/管理システムの有効性を説く連載。今回は、脆弱性対策におけるアンチウイルスソフトやファイアウォールの有効性について。

» 2020年07月08日 05時00分 公開
[阿部淳平, 草薙伸テナブル・ネットワーク・セキュリティ・ジャパン]

 脆弱(ぜいじゃく)性対策の重要性を基本から説明し、脆弱性スキャナー/管理システムの有効性を説く連載「脆弱性対策・管理入門」。第4回では、「脆弱性対策は公開サーバだけでよいかどうか」といった脆弱性管理を適用すべき範囲について説明した。一部公開サーバだけではなく内部端末における脅威が存在している以上、内部端末対策は必須だと考えられる。さらに近年、クラウド利用やIoTの活用が企業内で飛躍的に進んでおり、産業用制御システムにおけるセキュリティ侵害も増加している。

 連載第5回の本稿では、企業内で標準的に使用されているアンチウイルスソフトやファイアウォールによって、企業内のセキュリティは十分に保てるのかどうかについて考える。

アンチウイルスソフトの役割

 まず、アンチウイルスソフトの役割について考えてみたい。いまだに「アンチウイルスソフトは万能で全ての脅威から端末を守ってくれる」と信じているシステム担当者は少なくない。だが、この考え方は完全に間違っている。

 アンチウイルスソフトは文字通り端末内に侵入したウイルス(マルウェア)を駆除するものであり、マルウェアというのは不正なソフトウェアや悪質なコードの総称である。

 一方で正規のアプリケーションにおけるコードの欠陥(これがまさに脆弱性ということになる)を悪用される場合、アンチウイルスソフトは全くもって役に立たない。例えば「WannaCry」は、「SMB(Server Message Block)」という、正規のアプリケーション層プロトコルにおける脆弱性を悪用したものであるため、その対策としてアンチウイルスソフトという選択肢は有効ではない。Microsoftから提供されるセキュリティパッチを適用するのが最も推奨された対策となる。

 こうした脆弱性を突いた攻撃に対してアンチウイルスソフトが無力となるのは、アンチウイルスソフトが基本的には実行ファイルなどのファイル自体を検査する仕組みであり、脆弱性というのはメモリ上に展開されたプロセスに対して直接行われる攻撃であるためだ。最近急増している「ファイルレスマルウェア」も同様にファイル自体は作成されないためアンチウイルスソフトでの検知が困難な状況になっている。

ファイアウォールの役割

 ファイアウォールはアンチウイルスソフトと並び、一般的な組織で最もよく使用されているセキュリティ製品の一つである。ファイアウォールはもともとセッション管理で外部からの不正なアクセスを遮断する機能しかなかったが、その機能は徐々に拡張されており、今や「次世代ファイアウォール」「UTM(Unified Threat Management:統合脅威管理)」と名前を変え、多種多様な機能を提供している。

 その中でも脆弱性に関連するセキュリティ機能は「IPS(Intrusion Prevention System:不正侵入防止システム)」と呼ばれており、脆弱性に対しての攻撃を遮断するというのがその目的である。だが「IPSがあれば脆弱性は守られるか」というと、決してそんなことはない。その理由は3つある。

 1つ目は、IPSの検知精度が決して高くないからだ。IPSを回避するテクニックが発達しているのに加え、そもそも主要な脆弱性以外を検知するシグネチャがあまり存在していない。

 2つ目は、IPSはアンチウイルスソフトなどと比べると誤検知が圧倒的に起こりやすいため、通信の遮断は行わず、検知のみさせているケースが多いためである。つまり、「誤って正常な通信を止めてしまってもいいから攻撃を防ぎたい」と考える組織が少ないということだ。

 3つ目は、ファイアウォールは境界防御、つまりインターネット外の脅威から内部システムを守るべく通信系路上に設置されているものだからである。リモートワークの増加などにより、そもそもファイアウォールを通過しない通信が増加している。

何を守るべきなのか

 アンチウイルスソフトは基本的にはクライアントPCもしくはサーバに導入するものだ。では、ネットワーク機器やファイアウォールのようにアンチウイルスソフトをインストールできない機器のセキュリティはどうすればいいのか。

 実はこのようなネットワーク機器における重大なリスクも脆弱性である。例えば、2019〜2020年に大きな被害を引き起こしたSSL VPN製品の「Pulse Connect Secure」の脆弱性はパッチを当てる以外に有効な対策は存在しない。リモートワークの増加によってSSL VPN製品の利用も増加しているが、脆弱性を放置してしまうと一瞬にして企業のシステムが侵入を受けてしまうことになる。この脆弱性は2019年9月に公開された後、JPCERT/CCが再三注意喚起を行っていたものの、半年たった時点でも20%は脆弱性が残ったままになっていた

 「なぜ多くの企業が長期間にわたり危険な脆弱性を放置してしまうのか」と疑問を持つ読者も多いだろう。

 その答えは幾つかあるが、「脆弱性が残ってしまっているシステムがそれほど重要ではない」と考えている企業が多いというのが最も的を射た答えだろう。たとえ公開サーバを含む一部重要システムに対して多額のセキュリティ投資を行い、脆弱性対策を含む完璧なセキュリティ対策を施している企業であったとしても、クラウド上のシステムやネットワーク機器、IoTデバイスなどに対しては脆弱な状態のまま長期間放置されている場合が多い。

 しかしながら、今後半年以内に90%の可能性でセキュリティ侵害を引き起こす脆弱性を持った製品が自社内に存在していると分かっていれば、それを放置することはしないだろう。つまり脆弱性を放置してしまうのは、その脆弱性の危険度を正しく評価できていないか、「自社は攻撃を受けないだろう」と楽観的に捉えていると言い換えることもできる。

どのようにして企業内に残る脆弱性を見つけるべきか

 何事もセキュリティ対策は可視化するところから始まるが、「脆弱性が自社内にどの程度存在しているかどうか」については、どのように把握すべきなのだろうか。

 例えば、システム担当者がある日「CVE-2014-0160」の脆弱性を調査するよう上司から頼まれた場合を想定してみよう。その担当者は恐らく、まずNVD(National Vulnerability Database)の情報を見に行くことになるが、その中にある120を超えるセキュリティアドバイザリーのリンクに圧倒されるだろう。

 CVE-2014-0160はOpenSSLの脆弱性であるが、世の中にはOpenSSLを使用している製品が山のように存在しており、各製品が脆弱性に該当するアプリケーションや製品のバージョン情報を個別に提供している。担当者はCVE-2014-0160が該当する製品をリストアップした後、自社でそれらの製品を使用しているかをチェックするだろう。さらにそれらの製品にパッチが当たっているかどうかを個別に確認する必要もある。たった1つの脆弱性が自社内に存在するかどうかを確認するだけでも最低数日はかかることになる。

 OpenSSLの例は極端ではあるが、少なくとも脆弱性は年間1万件以上新規に公開されており、それら全てについて担当者が一つ一つマニュアル作業で確認するのは現実的ではない。

 そのため脆弱性の存在を確認する場合はツールを使うというのが一般的だ。ツールを使い、脆弱性をスキャンすることで脆弱性情報を自動的にかつ正確に収集できるようになる。脆弱性の定期スキャンの実施については「CIS Controls」をはじめ各種セキュリティガイドラインでは実施することが求められている。

次回は、脆弱性管理とセキュリティ診断サービスの未来について

 このように、アンチウイルスソフトやファイアウォールでは脆弱性に対しての脅威から組織を守ることは困難である。日々のパッチ当て業務や、アプリケーションのバージョンを最新に保つ地道な作業が求められる。ただし、それらの業務は想像する以上に重労働となるため、ツール利用により可能な限り自動化のプロセスを導入していくことが重要である。

 連載第5回となる今回は、脆弱性はファイアウォールやアンチウイルスソフトで守れるかどうかについて説明した。最終回となる次回は、脆弱性管理とセキュリティ診断サービスの未来について説明する。

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

4AI by @IT - AIを作り、動かし、守り、生かす
Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。