ファイブドライブ・よっこより技術ブログ

株式会社ファイブドライブの診断技術者や監査人のブログです。日々の情報セキュリティに関する話題やICT技術に関する考えをお伝えしていきます。

蓄積のその先へ。脆さを見つめ、対策へつなぐ。

皆さんは脆弱性情報を日頃からチェックしていますでしょうか。

当ブログを読んでいただいている方であれば多少なりとも脆弱性やセキュリティ情報に興味をお持ちかと存じます。脆弱性対策の始まりは脆弱性とその対策方法の情報を得ることになりますが、様々なお客様の話をお聞きしているとどのように情報収集したらよいか分からないという話を聴くことが多く、しっかりと情報収集が実施できているところは少ないのが実情のように見受けられます。

そこで今回の記事では脆弱性情報の集め方、活かし方について説明していきます。セキュリティ技術者向けの情報収集に関しては他社様の記事を参考にしていただくとして本記事は「どのように情報収集したらよいか分からない」「情報をどのように判断したらよいか分からない」という方に向けた内容です。

 

 

情報収集するための準備(仕込み作業)

まずはじめにですが、タイトルには「その先へ」と書いていますが、実は「その前に」準備をすることが実は重要です。
脆弱性情報の収集」となると「どのサイトをチェックすればよいか」となりがちでチェックするサイトの一覧を作っておしまい、なんていうケースもあります。そうではなく、収集する範囲や情報項目、その後の対応方法を明確にして対策へと確実につながるようにする必要があります。

 

①確認対象となるソフトウェア・機器のリストを作成する

「敵を知り、己を知れば、百戦して殆(あや)うからず」

セキュリティ業界では擦り切れるくらい引用されている『孫子』の一説です。情報収集に関しては「敵を知り」と同じくらい、いやそれ以上に「己を知れば」が非常に重要です。今システムはどのような状態なのか、スタート地点がどこなのかを知るところから始めるべきです。

どのソフトウェアや機器の情報を集めるのか、情報提供ページの中のどの情報(危険度、CVSS基本値、対策バージョンetc)を集めるのかなどをリストにして明確にしましょう。対象はシステムで使われる各OS・パッケージをベースにして、NW機器、アプライアンスを含めて網羅的に含めたものにしましょう。これだけでも結構大変です。

  • 収集対象のソフトウェア/機器をリストアップする(OS、アプリケーションパッケージ、NW機器、アプライアンスなど)
  • 情報提供ページの中で集める情報項目をリストアップする(脆弱性の危険度、CVSS基本値、対策されたバージョン、参考情報など)

闇雲に脆弱性情報を集め始めると、あっという間に整理できない情報量が蓄積されてしまい「集めたはいいがどこから手をつければいいんだ…」と途方にくれるでしょう。そうならないためにも、システムで使用されるソフトウェア・機器のリストを整理し、
対象とする範囲を決定してから情報収集をはじめましょう。

 

②定期的な確認の頻度を決定する

脆弱性情報は常に新しいものが公開されています。ベンダーによって差はありますが定期的または不定期にパッチ情報・アップデート情報が出ており、それに追従して確認と対策実施を進めていく必要があります。そのため定期的に確認する頻度を決定しましょう。この界隈は情報のアップデートがつきものです。

オススメは運用の手間と対策頻度のバランスを考慮すると、月1回程度が妥当というところです。しかし、緊急の脆弱性が出た場合には臨機応変に対応することを忘れずに。

 

③対策を実施する際の基準を設定する

情報を集めた後は「どうするか」が必要になるので、次は判断基準を策定します。
脆弱性情報は多種多様で、影響を受ける条件や影響範囲、影響の内容も個別に異なるため、ただ集めただけでは「対策する/しない」をすぐに判断することは困難です。

ということで、脆弱性情報において以下の情報項目を軸として対策要否の判断を
行うことがよいでしょう。

  • 管理しているシステムの中でどのサーバ/機器が影響を受けるか(重要システムが含まれるか)
  • 危険度はどう評価されているか(リスクは高いか/低いか)
  • CVSS基本値はどの程度か(数値は高いか/低いか)
  • どのような影響があるのか(情報漏えいか/コマンド実行か)
  • 対策することによる副作用はあるか(既存システムや機能への影響はあるか)

そして「対策をするぞ」と決まったら、さらにどの対応をとるかの判断も必要です。この段階ではセキュリティリスクの側面だけではなく、業務や運用への影響はもちろんのこと、かかるコストについても全部考慮した上でどの手段を取るかを決定します。対策つまりリスク対応は一般的に以下の4種類に分類されます。

  • リスク軽減(低減) ⇒パッチ適用やアクセス制限の強化など
  • リスク回避 ⇒ソフトウェアの停止や機能無効化など
  • リスク移転 ⇒セキュリティ保険の加入、運用管理のアウトソースなど
  • リスク保有 ⇒対応策を取らず受容する

ちなみに「内部だからリスクは無い」という判断基準については、ひと昔ふた昔くらいまではそれでヨシ!とされてきましたが、現代ではシステムへの侵入手段や経路が大きく変化していて、内部ネットワークの重要システムもバンバン攻撃されていますので今の侵害事例と現状の対策を加味して考える必要があります。

 

④おまけ:用語集を作成する

実はご存じかと思いますが、脆弱性情報の説明はシステムとセキュリティの専門用語があふれており「ちょっと何言っているか分からない」ということが多々あります。冷静に一つ一つの用語を理解すれば把握できるのですが、いかんせん専門的な話なのでその「一つ一つの用語」自体も苦労することがあります。なので適切に理解するための補助として独自の「用語集」を作っておくと便利です。

ググってもいいのですが毎回検索しては煩雑になるので担当者自身が理解しやすいように自分用辞書があると脆弱性情報の解釈が驚くほど捗るでしょう。

 

ここまででやっと情報収集をするための準備ができました。
次は、準備段階で作られた土台に合うように脆弱性情報を集めていきます。

 

●情報収集時の着目点

  • 複数のサイトで緊急扱いになっているか
  • 脆弱性を攻撃するためのコード(方法)が公開され利用できる状態になっているか
  • 脆弱性は複数の製品やサーバソフトウェアに影響するものか
  • 対策方法は何ができるか(恒久的な対策、一時的な対策、代替手段による対策

と、思ったよりも記事が長くなってしまったので、今回はここまでとしてます。

次回は収集時の着目点の詳細と、参照すべき情報源について紹介していきたいと思います。

 

技術ブログ編集員