特集:Log4j 2、クラウド設定ミスだけじゃない―1P情シスのための脆弱性管理/対策の現実解
Log4j 2の件を端に、再び世間を騒がせたソフトウェアの脆弱性問題。だが、もともと脆弱性というものは、OSSに限らず、商用ソフトウェア、ルーターやメモリなどのハードウェアと、あらゆるところに存在する。パッチを充てるなどの対策を施しても、減るどころか日々新たな脆弱性が発見されて増え続けるような報道が後を絶たない。むしろクラウドの設定ミスやコーディングミス、テスト不足など、人が新たな脆弱性を次々と作り出しているといっても過言ではない。人手が足りない企業の情報システム部門は日々の安定運用に手いっぱいで、脆弱性を管理して対策を講じるところまで頭が回らないのが実情ではないだろうか。本特集では、脆弱性を取り巻く現状を改めて整理し、今の時代に即した脆弱性管理/対策の在り方を探る。
TopStory
特集:1P情シスのための脆弱性管理/対策の現実解(3):
OSSの使用リスク対処として注目を集めているSBOM。SBOMを使ってどのようにサプライチェーン攻撃対策を行えばいいのだろうか。本稿では、@ITが開催した「@IT ソフトウェア品質向上セミナー」の基調講演「SBOMによるサプライチェーン攻撃対策 〜自社ソフトウェアのリスク、把握していますか?〜」で語られた、OSSの使用に潜むリスクへの対処法について、要約してお届けする。
特集:1P情シスのための脆弱性管理/対策の現実解(2):
いまの時代に即した脆弱性管理/対策の在り方を探る特集「Log4j 2、クラウド設定ミスだけじゃない―1P情シスのための脆弱性管理/対策の現実解」。初回に続き、インシデント情報をまとめて記録する「piyolog」を運営するpiyokango氏に、“脆弱性”をどう認識すべきか、そして新たな情報ソースから考える脆弱性対策の在り方について聞いた。
特集:1P情シスのための脆弱性管理/対策の現実解(1):
いまの時代に即した脆弱性管理/対策の在り方を探る特集「Log4j 2、クラウド設定ミスだけじゃない―1P情シスのための脆弱性管理/対策の現実解」。初回は、インシデント情報をまとめて記録する「piyolog」を運営するpiyokango氏に、昨今のインシデントを基に、いまそこにある問題点や「企業がどう対策すべきか」について聞いた。
概要、調査
脆弱性対策・管理入門(1):
脆弱性対策の重要性を基本から説明し、脆弱性スキャナー/管理システムの有効性を説く連載。初回は、脆弱性とは何か、今注目すべき理由について。
セキュリティ、いまさら聞いてもいいですか?(11):
サイバーセキュリティの“基礎の基礎”をおさらいする本連載。今回はソフトウェアに「脆弱(ぜいじゃく)性」が生まれてしまう理由や、開発者/利用者として可能な脆弱性への対処方法について解説します。
脆弱性による侵害可能性を29分の1に下げるには:
Cisco Systems子会社のKenna Securityが公開した調査レポートでは、さまざまな脆弱性管理手法の効果と、組織全体のエクスプロイタビリティ(ソフトウェアの脆弱性を悪用して侵害される可能性)を定量化している。脆弱性を素早く修正するよりも有効な手法があるという。
Gartner Insights Pickup(222):
セキュリティとリスク管理のリーダーは、脆弱(ぜいじゃく)性管理プラクティスを形式的な基準ではなく、自社の具体的なニーズに対応させる必要がある。
セキュリティのアレ(26):
セキュリティ専門家が時事ネタを語る本連載。第26回のテーマは「脆弱性情報への対処の仕方」です。名前や危険度などの情報に振り回されないための考え方を解説します。
OpenSCAPで脆弱性対策はどう変わる?(1):
本連載では、グローバルスタンダードになっている「SCAP」(セキュリティ設定共通化手順)、およびそれを基にシステム構成や脆弱性の検査を行うためのOSSツール「OpenSCAP」や、その周辺の技術、用語などを紹介する。初回は、SCAPの概要について。
採用が広がるOSS、脆弱性を管理すべきだ:
Synopsys(シノプシス)のBlack Duckグループによると、さまざまなソースコードが含むオープンソースソフトウェア(OSS)の比率が高まっているという。それに伴い、OSSに起因する脆弱(ぜいじゃく)性をも取り込んでしまっている場合が少なくない。
連日のように公開される脆弱性情報の中から自分たちに関係するものを見つけ、適切な優先順位で対応するのは容易ではない。この状況に、企業はどう向き合えばよいのだろうか? @ITが、2017年8月30日に開催したセミナー『連日の「深刻な脆弱性」どう向き合い、どう対応するか』のレポート、後編をお届けする。
製品開発時に実施すべき対処法をまとめた:
IPAのセキュリティセンターは、「脆弱性対処に向けた製品開発者向けガイド」を公開した。プリンタやルーター、ネットワークカメラ、ネットワーク家電などを開発する際に実施すべき脆弱性への対処をまとめた。
OSS脆弱性
Inside-Out:
2021年12月、Apache Log4jの脆弱(ぜいじゃく)性であるLog4Shellの情報が公開された。本稿ではLog4Shellの概要と、なぜ攻撃者がLog4Shellを悪用するのかを解説する。
Gartner Insights Pickup(240):
「Log4j」の脆弱(ぜいじゃく)性がもたらすリスクを理解し、関連する潜在的な脅威から企業システムを保護するための対策を把握する。
こうしす! こちら京姫鉄道 広報部システム課 @IT支線(31):
情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす!」の@ITバージョン。第31列車は、「Log4j 2の脆弱性」です。※このマンガはフィクションです。
CodeQL、Dependabot、GitHub Actionsなどを活用:
GitHubは、「GitHub」のネイティブツールや機能を活用してより安全なソフトウェアを作成する5つの方法を紹介した。
最新バージョンへのアップデートを推奨:
IPAは「Apache Log4j」の脆弱性(CVE-2021-44228)に関する対策を講じるように注意を促している。2.15.0より前の2系のバージョンが影響を受ける。
「説明書」でプラグインのバージョンを把握:
警察庁は、WordPress用「File Manager」プラグインの脆弱性を標的としたアクセスと、「DockerAPI」を標的とした探索行為の増加を観測したと発表した。WordPress用FileManagerプラグインがバージョン6.9以降であることを確認するよう促している。
OSS脆弱性ウォッチ(16):
連載「OSS脆弱性ウォッチ」では、さまざまなオープンソースソフトウェアの脆弱性に関する情報を取り上げ、解説する。今回は、2019年10月14日に発生したsudoコマンドの脆弱性(CVE-2019-14287)について。
任意のコードが実行される恐れ:
2018年8月24日に発表されたばかりの「Apache Struts 2」の脆弱(ぜいじゃく)性を悪用するPoC(概念実証)コードが見つかった。
SBOM(Software Bill of Materials:ソフトウェア部品表)
OSSのサプライチェーン管理、取るべきアクションとは(3):
「SBOM」が大きな注目を浴びている。そもそもSBOMとは何なのだろうか。なぜ米国は大統領令でこれを取り上げたのか。日本企業は対応する必要があるのか。どう対応すればいいか。ここでは、OSSのサプライチェーン管理に関する連載の3回目として、SBOMを解説する。
幅広いソフトウェアリポジトリに簡単に統合できる:
Microsoftはソフトウェア部品表(SBOM)生成ツールをオープンソースとして公開した。ソフトウェアのサプライチェーンを管理でき、セキュリティ向上にも役立つ。
OSSのサプライチェーン管理、取るべきアクションとは(4):
SBOMは、日本でも一部の企業では既に取り組みが進んでいる。では、一般的な普及に向けてはどのような課題があるのか。自動車業界、半導体/組み込み業界、システムインテグレーターと、異なる立場の関係者が話し合った。
利用中のOSSの脆弱性を調べるには:
GoogleがSBOMの活用事例を公開した。オープンソースツールを使って、「Kubernetes」のSBOMを「Open Source Vulnerabilities」データベースと照合し、Kubernetesの構成要素に含まれる脆弱性を特定したプロセスを紹介した。
サイバーセキュリティ戦略の要となるか:
The Linux Foundation Japanは、調査レポート「SBOM(ソフトウェア部品表)とサイバーセキュリティへの対応状況」を公開した。SBOMの採用の度合いと、オープンソース全体のサイバーセキュリティの改善に向けたSBOMの重要性について述べているという。
約8割の組織が2022年に利用を予定:
The Linux Foundationはソフトウェアの再利用に関する課題について調査したレポート「The State of Software Bill of Materials(SBOM) and Cybersecurity Readiness」(ソフトウェア部品表《SBOM》とサイバーセキュリティへの対応状況)を発表した。SBOMは最近のアプリケーションのおよそ90%がオープンソースソフトウェアを利用しているという状況に沿った解決策だ。
安全なソフトウェア開発に向けてSBOMの使用を促進:
The Linux Foundationは、SPDXに準拠した新しい業界調査やオンライントレーニング、ツールを発表した。安全なソフトウェア開発に向けてソフトウェア部品表(SBOM)の使用を促進する。
ハードウェアの脆弱性
DRAMの微細化で脅威が増すサイバー攻撃:
DRAMが持っていたハードウェアの脆弱性を悪用する「ローハンマー」というサイバー攻撃は、2014年に見つかった古い手法だ。既に対策が講じられているものの、2021年にGoogleが発見した「ハーフダブル」攻撃にはまだ対策が見つかっていない。
Beyond Zero-day Attacks(3):
攻撃手法を技術的に理解するための連載、今回はスタックと並んでよく耳にする「ヒープ破壊」を取り上げます。
あらゆるモノが入力デバイスに変わる?:
カーネギーメロン大学の研究チームは、周囲で何が起こっているかを音や振動状態から認識できる安価な2つの手法を開発した。これらの手法を用いると、モノやヒトの状態が分かるだけでなく、モノを入力デバイスとして利用できるという。
セキュリティ・アディッショナルタイム(31):
セキュアな開発やコードスキャンに取り組むだけでは防ぎ切れないリスクとして「サプライチェーン攻撃」がある。Kaspersky Labは、2019年4月9〜10日に開催した「Security Analyst Summit 2019」で、その実態を紹介した。
Inside-Out:
身近な機器といえども、インターネットにつながっていると、悪意のある攻撃に狙われる恐れがある。IoT機器の設定確認は、不可欠である。見直すポイントについてまとめてみた。
CPUレベルでWindowsセキュリティを再定義:
MicrosoftはAMD、Intel、Qualcomm Technologiesとともに、セキュリティプロセッサ「Microsoft Pluton」と、これに基づくWindowsセキュリティの新たなビジョンを発表した。TPMチップとCPUのやりとりを傍受するといった攻撃に対応する。
Androidは影響不明、Windowsは影響なし:
イスラエル工科大学の研究者がBluetoothの実装の新たな脆弱(ぜいじゃく)性を発見した。悪用されると、デバイス間でやりとりしたデータを傍受されたり、改ざんされたりする恐れがある。
投機的実行に関する脆弱性に対処するマイクロコード提供も大きく前進:
Intelは、投機的実行に関する脆弱性に対して保護する必要がある、発売後5年以内の全Intel製品についてマイクロコードアップデートをリリース。2018年後半出荷の製品から導入する設計変更も明らかにした。
頭脳放談:
2018年の年明けから大騒ぎとなっているSpectreとMeltdownの脆弱(ぜいじゃく)性をざっくりと解説する。プロセッサの何が問題となって脆弱性が起きているのだろうか?
クラウド設定ミス
特集:withコロナ時代のクラウドセキュリティ最前線(1):
クラウドサービスの活用が急務の今、必要となる“考え方の転換”やアプローチについて、クラウドセキュリティにおける意識調査のレポートを公開した2社に話を聞いた。
親子の会話から学ぶクラウドセキュリティ(5):
親子の会話で出てくるような素朴な疑問点から、クラウド環境における情報セキュリティの技術を学習する連載。今回は、クラウド環境での脆弱性検査と、サイバー攻撃を受けた場合の検知・確認方法に関する基礎知識について。
特集:withコロナ時代のクラウドセキュリティ最前線(2):
主にIaaS利用における「設定ミス」を防ぎ、想定外の事態を起こさないための仕組み「CSPM(Cloud Security Posture Management:クラウドセキュリティ状態管理」)に関心が集まっている。概要や必要性、使いどころ、他のリューションとの違いなどをガートナーのアナリストに聞いた。
こうしす! こちら京姫鉄道 広報部システム課 @IT支線(29):
情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす!」の@ITバージョン。第29列車は、「クラウドサービスの設定不備」です。
2020〜2025年度のCAGRは48.5%の見込み:
ITRは、国内のCSPM市場について規模の推移と予測を発表した。2020年度の売上金額は対前年度比約3.3倍の3億6000万円。2020〜2025年度の年間平均成長率を48.5%と見込み、2025年度の市場規模は26億円に達するという。
働き方改革時代の「ゼロトラスト」セキュリティ(13):
デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、ゼロトラストを構成する上で必要となるクラウドセキュリティ技術について解説する。
特集:withコロナ時代のクラウドセキュリティ最前線(3):
DeNAは各種サービスのインフラ基盤のクラウド移行を進めており、クラウドセキュリティの対策が重要になってきていた。オンプレミス時代から実施している社内のセキュリティ監査の取り組みを、クラウドに適用した方法と、そこで見えてきた課題などが明かされた。
脆弱性管理
働き方改革時代の「ゼロトラスト」セキュリティ(18):
デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、ゼロトラスト時代の可視化と分析、モダンSOCについて解説する。
シフトレフトやSCA、SAST、SBOMが役立つ:
アプリケーションセキュリティベンダーのMendが、アプリケーションセキュリティをゼロトラストで実現する6つのステップを解説した。セキュリティのシフトレフトを最初に進めるべきだが、ソフトウェア構成分析と静的アプリケーションセキュリティテストの組み合わせやソフトウェア部品表なども役立つという。
脆弱性対策・管理入門(終):
脆弱性対策の重要性を基本から説明し、脆弱性スキャナー/管理システムの有効性を説く連載。最終回は、脆弱性管理とセキュリティ診断サービスの未来について。
脆弱性管理の実践ポイント(終):
自社で脆弱性管理を実践しようと考えている企業のために、脆弱性スキャナーの種類や脆弱性管理のステップなどを解説する連載。最終回となる今回は、脆弱性管理を導入するための具体的なステップについて。
OpenSCAPで脆弱性対策はどう変わる?(4):
本連載では、グローバルスタンダードになっている「SCAP」(セキュリティ設定共通化手順)、およびそれを基にシステム構成や脆弱性の検査を行うためのOSSツール「OpenSCAP」や、その周辺の技術、用語などを紹介する。今回は、OpenSCAPの環境を構築し、実際に試してみた。
対応優先度と対応策を自動通知:
ビズリーチは、オープンソースソフトウェアの脆弱(ぜいじゃく)性管理ツール「yamory」の提供を開始した。システムが利用しているOSSの状況を自動的に把握し、脆弱性を管理する。
セキュリティ業界、1440度(17):
2015年10月28日から29日にかけて、西新宿で日本発の国際セキュリティカンファレンス「CODE BLUE 2015」が開催されました。IoT関連の衝撃的な攻撃デモや、著名バグハンターによる「脆弱性の効率的な発見方法」の解説など、多くの刺激的な発表が行われた本イベントから、特に興味深かった講演に関するリポートをお送りします。
企業での脆弱性対策に有用:
Microsoftは、「Microsoft Defender Advanced Threat Protection(ATP)」の「脅威および脆弱性管理」機能の一般提供を開始した。企業におけるエンドポイントの脆弱(ぜいじゃく)性管理を容易にするという。
セキュリティパッチ
こっそり始めるパッチマネジメント自動化入門(1):
パッチ適用の時間を短縮する「自動化」について解説する連載。初回は、脆弱性を突かれた企業がセキュリティパッチを適用できなかった理由、「そもそもパッチ適用作業とは何をするものなのか」を整理します。パッチ適用全体を管理する業務「パッチマネジメント」と、その自動化がもたらす効果についても解説します。
企業ユーザーに贈るWindows 10への乗り換え案内(128):
Microsoftは2022年7月から、Windows 10/11 EnterpriseのE3/E5ライセンスを持つ企業や組織に向けて、WindowsやMicrosoft 365 Apps、Microsoft Edgeなどの更新を管理する新サービス「Windows Autopatch」の一般提供を開始します。
ネットワークレベルでエンドポイントの脆弱性に対処:
仮想パッチは脆弱性パッチの一種だが、脆弱性のあるソフトウェアへ直接パッチを当てるのではなく、ネットワークレベルで脆弱性に対応する。Compritech.comによれば、ネットワークやシステムの管理者は業務の一環として仮想パッチに取り組むべきだという。
ITmediaはアイティメディア株式会社の登録商標です。