そもそも「脆弱性」とは何なのか――WannaCry後&リモートワーク時代の脆弱性対策:脆弱性対策・管理入門(1)
脆弱性対策の重要性を基本から説明し、脆弱性スキャナー/管理システムの有効性を説く連載。初回は、脆弱性とは何か、今注目すべき理由について。
「マルウェア」とは悪意のあるソフトウェアや悪質なコードの総称を指す。「マルウェア対策」というと、セキュアWebゲートウェイ、IDS(侵入検知)、EDR(エンドポイントでの検出と対応)、アンチウイルスなどが最初に語られることが多い。
それらがマルウェア自体やその活動を検知し防御するものであるのに対して、そのマルウェアが悪用している脆弱(ぜいじゃく)性そのものを予防的にふさぐ作業もまた、極めて基本的かつ有効なマルウェア対策である。OSやソフトウェアのセキュリティパッチを小まめに適用すること。パッチが存在しなくとも緊急性やリスクの高い脆弱性が存在するサービスを閉じておくこと。このような基本的な脆弱性対策の重要性は、多くの人たちが理解しながら、欧米だけではなく、香港、シンガポールなどアジア圏の各国と比べても、日本国内の意識は低かったといえる。
本連載では、今日的なセキュリティ上の脅威を基に、ますます増してゆく脆弱性対策の重要性を基本から説明し、脆弱性対策の手助けを行う脆弱性スキャナーや脆弱性管理システムの有効性について読者に理解してもらうことを目的としている。
新型コロナウイルス感染症(COVID-19)による緊急事態宣言が発令されている現在(2020年4月27日)、リモートワークの必要性をきっかけとして再び、マルウェア対策の注目度が上がっている。この状況であるからこそ、企業のITセキュリティに関係する全ての方々に読んでいただきたい。
連載は、下記のような内容を予定している。
- 第1回:脆弱性とは何か
- 第2回:新型コロナウイルス感染症によるリモートワークとセキュリティ上の脅威
- 第3回:Windows 7のサポート終了と脆弱性
- 第4回:脆弱性対策は公開サーバだけでよいか
- 第5回:脆弱性はファイアウォールやアンチウイルスソフトウェアで守れるか
- 第6回:脆弱性管理とセキュリティ診断サービスの未来(まとめ)
連載初回となる今回は、「脆弱性とは何か」について説明する。
脆弱性の定義
脆弱性とは「Vulnerability」の日本語訳だ。コンピュータシステム内で認可されていない行動を攻撃者が試みる際、悪用されやすいセキュリティ上の弱点を指す。脆弱性が認知されてから、その脆弱性をふさぐ修正が行われるまでの期間、そのシステムやオペレーションは「脆弱である」とされる。「セキュリティバグ」とほぼ同じ意味だが、脆弱性はソフトウェアに限らずハードウェア、物理的なオペレーションにも及ぶため、より広義の意味を持つ。
Vulnerabilityは多くの組織や文書でさまざまな定義が付けられているが、参考にOpen GroupのVulnerabilityの定義を紹介する。
“The probability that threat capability exceeds the ability to resist the threat.”
(脅威の性能が脅威への抵抗力を超えること)
脆弱性が発生する原因としては、不十分なテスト、監査証跡の不足、デザイン上の欠陥などが考えられる。これらはソフトウェアバグの発生原因でもあり、ソフトウェアバグの中で特にセキュリティ上の弱点となるものが脆弱性といえる。バグが発生しないソフトウェア開発が極めて難しいのと同様、脆弱性が発生しないソフトウェアを作成するのは困難である。そのため、脆弱性への対処がサイバーセキュリティにおける大きなテーマであり続けている。
脆弱性と脅威
2020年にIPA(独立行政法人 情報処理推進機構)が発表した、「情報セキュリティ10大脅威2020」によれば、ビジネスメール詐欺や情報漏えいに関する幾つかの脅威を別にすれば、組織に対するサイバーセキュリティ上の脅威のほとんどが、脆弱性の悪用をきっかけとしたものである。あらかじめ脆弱性がふさがれていれば、これらの脅威に対する影響を最小限にすることができる。
例えば、IPAの10大脅威における第1位である標的型攻撃では、メールの添付ファイルや悪意のあるWebサイトを通じて、ターゲットとする特定組織内のPCをマルウェアに感染させ、そのPCを経由してさまざまな情報を盗み出す。この時、マルウェアに感染時、あるいはマルウェアの活動時、その端末が持つ脆弱性を悪用する。こういった脆弱性をふさぐことが、これらの脅威に対する防御策となる。
各種ウイルス、ワームなど「マルウェア」といわれる悪意あるソフトウェアは、その動作や結果はそれぞれ異なるが何らかの脆弱性の悪用を起点としている。だからこそマルウェアが悪用している脆弱性を予防的にふさぐ作業は、極めて基本的かつ有効な対策となり得る。
脆弱性情報の取得
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
なぜ、「脆弱性」はなくならないの?
サイバーセキュリティの“基礎の基礎”をおさらいする本連載。今回はソフトウェアに「脆弱(ぜいじゃく)性」が生まれてしまう理由や、開発者/利用者として可能な脆弱性への対処方法について解説します。
SCAP(セキュリティ設定共通化手順)とは何か――CVE、CVSS、CPEについて
本連載では、グローバルスタンダードになっている「SCAP」(セキュリティ設定共通化手順)、およびそれを基にシステム構成や脆弱性の検査を行うためのOSSツール「OpenSCAP」や、その周辺の技術、用語などを紹介する。初回は、SCAPの概要について。
緊急、Windowsの未パッチの脆弱性(ADV200006)回避策をバッチ化する
2020年1月にWindows 7の延長サポートが終了してからまだ2カ月半ですが、既に全てのWindowsに影響する深刻度の高い脆弱性が2つ明らかになっています。そのうちの1つはセキュリティ更新プログラムが未提供(4月のセキュリティ更新に含める形で提供予定)です。影響を緩和する回避策はありますが、多数のPCを管理している人にとっては手間のかかる作業です。そこで、その回避策を簡単に実施する方法を考えました。