サプライチェーンのセキュリティリスクに脆弱性管理という一手

今回は「サプライチェーンのセキュリティリスクに脆弱性管理という一手」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　情報処理推進機構（IPA）が発表した「情報セキュリティ10大脅威」の2021年版の組織編で、サプライチェーンのセキュリティリスクが前年と同じく4位に挙げられている。ITシステムが企業や取引先をまたいで日常的に利用される昨今は、サイバー攻撃者もここを侵入口や攻撃の踏み台にして、機密情報の探索や窃取、システムの破壊といった行為をしている。インシデントを前提にした防御や検知、対処、復旧といったフレームワークに基づくセキュリティ対策とともに、基本的な脆弱性管理にも関心が高まっているようだ。

　こうした中、電子認証局などのセキュリティやLinuxなどのオープンソースソフトウェア（OSS）、IoTの事業を手掛けるサイバートラストが、NIST（米国立標準技術研究所）のセキュリティに関するガイダンスに対応する方針を表明し、企業顧客に脆弱性管理ツールなどを提供することにしている。同社に取り組みの背景などを尋ねた。

面倒でも避けられない脆弱性管理

　NISTのセキュリティに関するガイダンスのうち、サプライチェーンにまつわるものには、政府関連機関が調達する製品や技術に携わる組織向けのSP800-171などがある。3月には、同国の安全保障や経済などに影響するIT関連のサプライチェーンのセキュリティについて定めた「Securing the Information and Communications Technology and Services Supply Chain」も発効された。

　サイバートラスト 取締役副社長の佐野勝大氏は、「NISTのこうしたガイドラインは、国防総省など連邦政府機関が調達するITシステムの安全性確保などを目的に、取引企業に対して対応を求めるものだったが、日本でも防衛省がSP800-171に相当するセキュリティ対策を求めた新たな防衛調達基準を導入するなど広がっており、企業側もSP800-171への対応が必要になる。日米政府のこうした動きは今後さまざま分野に広がる可能性があり、企業のビジネスに今後大きく影響するだろう」と語る。

　サイバー攻撃者がサプライチェーンのITシステムに侵入する方法では、何らかの手口により入手したユーザーの認証情報を悪用したり、システムの脆弱性を悪用したりするなどのケースが考えられる。特にシステム管理者にとって難しいのが、OSSなどの脆弱性を悪用されることへの備えだ。

　ITシステムは、独自開発でもパッケージ製品でも実に多くの種類のOSSが“部品”として利用され、特にサプライチェーンのITシステムは利用者が広範囲に及ぶ。運用中のシステムを構成するOSSの中に脆弱性が見つかった場合、それがシステム全体にどう影響するのかを評価したり、修正プログラム（パッチ）を適用した場合の状況などを正確に予測したりするのは難しく、システム管理者が無数のOSSの脆弱性情報を見逃さないように毎日確認するだけでも多くの労力を費やしてしまう。

　同社は、50社ほどの顧客に脆弱性管理の状況をヒアリングしたという。OSS事業推進室の多和田諭氏は、「脆弱性管理の重要性を認識しているシステム管理者は多い。だが、本格的に取り組めば無数のアラートの対応に追われて日常業務がままならなくなると恐れ、及び腰になっているところが少なくない。一方で、コンプライアンスにより社内の経営管理部門などから適切な脆弱性管理の実施を要求すべきとの声が強まり、取り組みに乗り出すところも増えつつある」と話す。

　脆弱性管理は、利用規模が大きいもののコンピューターの構成が共通して対応がしやすいPCについては、実施しているところが多い。しかし、システムの構成や環境が異なりやすいサーバーや、ネットワーク機器などでは難しいという事情もある。

脆弱性管理ツールの使い方

　同社が100台サーバーで10種類のOSSを管理する環境での脆弱性管理作業に要する5年間の総コストを試算したところ、約1億2000万円に上ったという。このうち約半分の6000万円ほどが脆弱性情報の入手や内容を評価するコストだった。この他に対応方針を検討したり設定テンプレートの作成など作業を準備したりする部分の割合も大きいという。

　脆弱性管理については、作業を効率化するさまざまなツールが以前から提供されている。上述の試算では、ツールを使えば、特に脆弱性情報の収集や確認、作業準備の部分を効率化でき、5年間で約7500万円のコストを削減できるとする。だが、多和田氏によれば、それでも複雑化しているシステムにパッチを適用した際の影響を分析するなどの作業の負担が大きいと指摘する。脆弱性管理ツールのメリットを知っていても、作業全体の負担を考えれば、「できればアップデートをしたくない……」というのが、多くのシステム管理者の本音であるようだ。

　このため同社は、システム管理で広く利用されているOSSのZabbixを活用した「MIRACLE Vul Hammer」という脆弱性管理ツールの開発を進めている。Zabbixで登録、管理しているシステムの構成情報をもとにスキャンを行い、利用されているOSSやその他のソフトウェアの脆弱性情報を収集、分析したり、パッチ適用のテンプレートなどを作成、設定したり、パッチ適用の状況などを管理できるようにする。脆弱性情報のソースには、情報の確度が高いNISTの「National Vulnerability Database（NVD）」や、JPCERT コーディネーションセンターとIPAが運用する国内の「Japan Vulnerability Notes（JVN）」、主要なITベンダーのものを利用する。特に、無償利用できるためユーザーの多いCentOSへの対応を強化するという。

　多和田氏は、「脆弱性管理に前向きな組織ではツールを自社開発しているところもあるが、新規のツール導入が難しいという組織には、既にあるZabbixと連携する形であれば利用しやすいと考えた。ヒアリングした50社ほどのうち10社から『それなら試してみたい』とベータ版の検証希望をいただいている」と話す。

　脆弱性管理は、定義ファイルの自動更新機能を備えたウイルス対策ソフトなどに比べて、ユーザーが能動的に実施しなければならない要素が強いだけに、どうしても消極的になりがちだっただろう。サプライチェーンのセキュリティリスクの高まりを背景にした国家的な対応強化の要請が強まる中で、特にシステムを開発、運用する企業には、適切な脆弱性管理の実施が今後ますます求められる。

　佐野氏は、「例えば、メーカーならNISTのガイドラインに準拠する製品を開発、提供しなければビジネスができなくなるリスクにつながるだろう。システムを利用するエンドユーザー側の危機意識が高まっているため、システム管理者側も脆弱性管理へ前向きに取り組んでほしい」と話している。

個人情報保護/情報セキュリティへの取り組み | So-net 会社案内

情報セキュリティへの取り組み 当社は、ISO規格に準拠した情報管理に取り組んでおります。 安全・安心マークについて 「インターネット接続サービス安全・安心マーク推進協議会」が発行する「安全・安心マーク」使用許諾審査に合格しております。

再インストールするには？ 【ウイルスセキュリティ】｜ソース ...

17. 「ウイルスセキュリティ」のホーム画面が表示されます。 以上で「ウイルスセキュリティ」の再インストールは完了です。 なお、[ローカルディスク(C:)]の「VS」フォルダは、インストール後に削除しても問題はありません。

警察庁 @police

警察庁によるセキュリティ情報提供サイト。サイバー犯罪・サイバーテロの未然防止及び被害の拡大防止を図るべく、ネットワークセキュリティに関する様々な情報を提供します。

無料セキュリティソフト（Rapport）のご案内 - SHINKIN

ただし、セキュリティソフトにより、インストールや利用する際に特別な操作が必要な場合もあります。 IBM Trusteerサポートサイトに掲載されている「他のセキュリティ製品との互換性」をご確認ください。 2．利用環境

新規購入(個人向け製品)｜ESETセキュリティ ソフトウェア シ …

【公式オンラインストア】ESETセキュリティ ソフトウェア シリーズ 個人向け製品新規購入ページです。

ノートン 無料体験版ソフトウェアのダウンロード - Norton

ノートン セキュリティソフトの30日無料体験版をダウンロードすることができます。購入手続きを行わない限り費用は一切かかりませんので、安心してノートンのパフォーマンスをご体験ください。

データ便 ｜無料無制限の大容量ファイル送信サービス - トップ ...

大容量ファイル転送サービス「データ便」。会員登録不要でも500MB、無料のフリープランで2GB、高速ビジネスプランはファイル容量無制限で100GBを超えるデータでも簡単に送信できます。本人確認機能を備えたセキュリティ充実の「セキュリティ便」もお使いいただけます。

改ざん防止機能によってセキュリティ設定の変更を防止する

Windows セキュリティの改ざん防止機能を有効にする方法をご確認ください。この機能を使用すると、悪意のあるアプリによって Windows Defender ウイルス対策の設定が変更されないよう、保護することができます。

銀行.info - 間違いだらけの銀行選び

ユーザー参加型の銀行比較・ランキングサイト。インターネットバンキング・振込手数料・ATM手数料・円定期預金・外貨預金・投資信託・住宅ローン・FX・カードローン・セキュリティ対策などから、各銀行・ネットバンクの比較・格付け・ランキングを行います。

Twitter

詳細の表示を試みましたが、サイトのオーナーによって制限されているため表示できません。