サイバーセキュリティは防御、検知、対応、予測の“プロセス”――エフセキュア：＠IT脆弱性対応セミナー2018

[谷崎朋子，＠IT]

エフセキュア プロダクトグループ セールスエンジニア 部長 島田秋雄氏

　＠ITは、2018年9月11日、東京で「＠IT脆弱性対応セミナー」を開催した。本稿では、エフセキュアの講演「攻撃者にとって、いくつもの脆弱性は必要ありません。1つあれば十分です。」の内容をお伝えする。

　ソフトウェアなどの脆弱（ぜいじゃく）性が1つでもあれば、十分に悪用される可能性がある。しかし、2017年に発見された脆弱性は1万7000件に上り、脆弱性が悪用されるまでの平均期間が15日であるのに対し、修正されるまでの平均期間は103日といわれている。

　だが、すぐにパッチを適用できない場合もある。エフセキュアの島田秋雄氏は次のように現状を分析する。

　「国内にはJavaベースの金融システムが多数あるが、パッチを当てるにしてもテスト項目の設定や関係部署との調整など、やるべきことが多過ぎて対応が完了するまで時間がかかってしまう。セキュリティ対策を、防御、検知、対応、予測の“プロセス”と捉え、これをうまく回すための基本となる、IT資産の把握や継続的な脆弱性検査、脆弱性管理プロセスの整備が必須」

　「F-Secure Radar」は、脆弱性のスキャンと管理を一元的に実行する管理プラットフォームだ（クラウド版とオンプレミス版の両方を用意）。ネットワーク全体と全資産をスキャンして脅威を検出、Webアプリケーションの脆弱性をスキャンし、設定ミスを含むセキュリティ対策状況を可視化。シャドーITなど、IT部門が把握していない脆弱なポイントもあぶり出すことが可能だという。

　「侵害は発生するものと想定し、脆弱性は定期的に診断する。EDR（Endpoint Detection and Response）など最新のエンドポイント対策ソリューションを検討してほしい」

サイバーセキュリティは“プロセス”