サプライチェーンのセキュリティリスクに脆弱性管理という一手

今回は「サプライチェーンのセキュリティリスクに脆弱性管理という一手」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威」の2021年版の組織編で、サプライチェーンのセキュリティリスクが前年と同じく4位に挙げられている。ITシステムが企業や取引先をまたいで日常的に利用される昨今は、サイバー攻撃者もここを侵入口や攻撃の踏み台にして、機密情報の探索や窃取、システムの破壊といった行為をしている。インシデントを前提にした防御や検知、対処、復旧といったフレームワークに基づくセキュリティ対策とともに、基本的な脆弱性管理にも関心が高まっているようだ。

 こうした中、電子認証局などのセキュリティやLinuxなどのオープンソースソフトウェア(OSS)、IoTの事業を手掛けるサイバートラストが、NIST(米国立標準技術研究所)のセキュリティに関するガイダンスに対応する方針を表明し、企業顧客に脆弱性管理ツールなどを提供することにしている。同社に取り組みの背景などを尋ねた。

面倒でも避けられない脆弱性管理

 NISTのセキュリティに関するガイダンスのうち、サプライチェーンにまつわるものには、政府関連機関が調達する製品や技術に携わる組織向けのSP800-171などがある。3月には、同国の安全保障や経済などに影響するIT関連のサプライチェーンのセキュリティについて定めた「Securing the Information and Communications Technology and Services Supply Chain」も発効された。

 サイバートラスト 取締役副社長の佐野勝大氏は、「NISTのこうしたガイドラインは、国防総省など連邦政府機関が調達するITシステムの安全性確保などを目的に、取引企業に対して対応を求めるものだったが、日本でも防衛省がSP800-171に相当するセキュリティ対策を求めた新たな防衛調達基準を導入するなど広がっており、企業側もSP800-171への対応が必要になる。日米政府のこうした動きは今後さまざま分野に広がる可能性があり、企業のビジネスに今後大きく影響するだろう」と語る。

 サイバー攻撃者がサプライチェーンのITシステムに侵入する方法では、何らかの手口により入手したユーザーの認証情報を悪用したり、システムの脆弱性を悪用したりするなどのケースが考えられる。特にシステム管理者にとって難しいのが、OSSなどの脆弱性を悪用されることへの備えだ。

 ITシステムは、独自開発でもパッケージ製品でも実に多くの種類のOSSが“部品”として利用され、特にサプライチェーンのITシステムは利用者が広範囲に及ぶ。運用中のシステムを構成するOSSの中に脆弱性が見つかった場合、それがシステム全体にどう影響するのかを評価したり、修正プログラム(パッチ)を適用した場合の状況などを正確に予測したりするのは難しく、システム管理者が無数のOSSの脆弱性情報を見逃さないように毎日確認するだけでも多くの労力を費やしてしまう。

 同社は、50社ほどの顧客に脆弱性管理の状況をヒアリングしたという。OSS事業推進室の多和田諭氏は、「脆弱性管理の重要性を認識しているシステム管理者は多い。だが、本格的に取り組めば無数のアラートの対応に追われて日常業務がままならなくなると恐れ、及び腰になっているところが少なくない。一方で、コンプライアンスにより社内の経営管理部門などから適切な脆弱性管理の実施を要求すべきとの声が強まり、取り組みに乗り出すところも増えつつある」と話す。

 脆弱性管理は、利用規模が大きいもののコンピューターの構成が共通して対応がしやすいPCについては、実施しているところが多い。しかし、システムの構成や環境が異なりやすいサーバーや、ネットワーク機器などでは難しいという事情もある。

脆弱性管理ツールの使い方

 同社が100台サーバーで10種類のOSSを管理する環境での脆弱性管理作業に要する5年間の総コストを試算したところ、約1億2000万円に上ったという。このうち約半分の6000万円ほどが脆弱性情報の入手や内容を評価するコストだった。この他に対応方針を検討したり設定テンプレートの作成など作業を準備したりする部分の割合も大きいという。

 脆弱性管理については、作業を効率化するさまざまなツールが以前から提供されている。上述の試算では、ツールを使えば、特に脆弱性情報の収集や確認、作業準備の部分を効率化でき、5年間で約7500万円のコストを削減できるとする。だが、多和田氏によれば、それでも複雑化しているシステムにパッチを適用した際の影響を分析するなどの作業の負担が大きいと指摘する。脆弱性管理ツールのメリットを知っていても、作業全体の負担を考えれば、「できればアップデートをしたくない……」というのが、多くのシステム管理者の本音であるようだ。

 このため同社は、システム管理で広く利用されているOSSのZabbixを活用した「MIRACLE Vul Hammer」という脆弱性管理ツールの開発を進めている。Zabbixで登録、管理しているシステムの構成情報をもとにスキャンを行い、利用されているOSSやその他のソフトウェアの脆弱性情報を収集、分析したり、パッチ適用のテンプレートなどを作成、設定したり、パッチ適用の状況などを管理できるようにする。脆弱性情報のソースには、情報の確度が高いNISTの「National Vulnerability Database(NVD)」や、JPCERT コーディネーションセンターとIPAが運用する国内の「Japan Vulnerability Notes(JVN)」、主要なITベンダーのものを利用する。特に、無償利用できるためユーザーの多いCentOSへの対応を強化するという。

 多和田氏は、「脆弱性管理に前向きな組織ではツールを自社開発しているところもあるが、新規のツール導入が難しいという組織には、既にあるZabbixと連携する形であれば利用しやすいと考えた。ヒアリングした50社ほどのうち10社から『それなら試してみたい』とベータ版の検証希望をいただいている」と話す。

 脆弱性管理は、定義ファイルの自動更新機能を備えたウイルス対策ソフトなどに比べて、ユーザーが能動的に実施しなければならない要素が強いだけに、どうしても消極的になりがちだっただろう。サプライチェーンのセキュリティリスクの高まりを背景にした国家的な対応強化の要請が強まる中で、特にシステムを開発、運用する企業には、適切な脆弱性管理の実施が今後ますます求められる。

 佐野氏は、「例えば、メーカーならNISTのガイドラインに準拠する製品を開発、提供しなければビジネスができなくなるリスクにつながるだろう。システムを利用するエンドユーザー側の危機意識が高まっているため、システム管理者側も脆弱性管理へ前向きに取り組んでほしい」と話している。

個人情報保護/情報セキュリティへの取り組み | So-net 会社案内

情報セキュリティへの取り組み 当社は、ISO規格に準拠した情報管理に取り組んでおります。 安全・安心マークについて 「インターネット接続サービス安全・安心マーク推進協議会」が発行する「安全・安心マーク」使用許諾審査に合格しております。

再インストールするには? 【ウイルスセキュリティ】|ソース ...

17. 「ウイルスセキュリティ」のホーム画面が表示されます。 以上で「ウイルスセキュリティ」の再インストールは完了です。 なお、[ローカルディスク(C:)]の「VS」フォルダは、インストール後に削除しても問題はありません。

警察庁 @police

警察庁によるセキュリティ情報提供サイト。サイバー犯罪・サイバーテロの未然防止及び被害の拡大防止を図るべく、ネットワークセキュリティに関する様々な情報を提供します。

無料セキュリティソフト(Rapport)のご案内 - SHINKIN

ただし、セキュリティソフトにより、インストールや利用する際に特別な操作が必要な場合もあります。 IBM Trusteerサポートサイトに掲載されている「他のセキュリティ製品との互換性」をご確認ください。 2.利用環境

新規購入(個人向け製品)|ESETセキュリティ ソフトウェア シ …

【公式オンラインストア】ESETセキュリティ ソフトウェア シリーズ 個人向け製品新規購入ページです。

ノートン 無料体験版ソフトウェアのダウンロード - Norton

ノートン セキュリティソフトの30日無料体験版をダウンロードすることができます。購入手続きを行わない限り費用は一切かかりませんので、安心してノートンのパフォーマンスをご体験ください。

データ便 |無料無制限の大容量ファイル送信サービス - トップ ...

大容量ファイル転送サービス「データ便」。会員登録不要でも500MB、無料のフリープランで2GB、高速ビジネスプランはファイル容量無制限で100GBを超えるデータでも簡単に送信できます。本人確認機能を備えたセキュリティ充実の「セキュリティ便」もお使いいただけます。

改ざん防止機能によってセキュリティ設定の変更を防止する

Windows セキュリティの改ざん防止機能を有効にする方法をご確認ください。この機能を使用すると、悪意のあるアプリによって Windows Defender ウイルス対策の設定が変更されないよう、保護することができます。

銀行.info - 間違いだらけの銀行選び

ユーザー参加型の銀行比較・ランキングサイト。インターネットバンキング・振込手数料・ATM手数料・円定期預金・外貨預金・投資信託・住宅ローン・FX・カードローン・セキュリティ対策などから、各銀行・ネットバンクの比較・格付け・ランキングを行います。

Twitter

詳細の表示を試みましたが、サイトのオーナーによって制限されているため表示できません。

COMMENTS


15860:
2021-04-10 23:03

純国産SNSが「セキュリティの観点から他国サーバーにデータ残したくない」ならわかる。けど、あれが目指すのはレイシズムと選民思想が跋扈するスタイルになりそう。あと、言論弾圧がないのを目指すなら、自分を律して「自浄作用」キープしなきゃならん…

15864:
2021-04-10 22:44

?資系お宝求人:年収3000万円以上? 大手エージェントでは探せない『お宝求人』は存在する。 ✅業界:モバイルコマース、セキュリティ ✅待遇:チャネルアカウントディレクター ✅報酬:年収3000万円以上可能 …

15866:
2021-04-10 21:18

みく⭐︎セキュリティは! (* ˘ω˘ )脆弱性がありますねww 朝の低血圧みくさん!(即復帰✨)

15862:
2021-04-10 18:09

フリーwifiが普及し始めていますがセキュリティ的に不安になるという人も多いでしょうし実際にその通りです。あくまで個人情報などの送受信はしないようにしましょう。

15859:
2021-04-10 17:38

この数日、PCのメーラーがサーバーに繋がらなくて、あの手この手で無理矢理メールの受信をしてたのが、今朝になって急に治った 私は何もしてない 事が起きた前後でデスクトップ上のセキュリティソフトのアイコンが更新された時の動きをしてたから、多分こいつかも

15861:
2021-04-10 16:29

『ファルコン&ウィンター・ソルジャー』ダニエル・ブリュール「別番組をハンガリーで撮影していたときに、監督がジモのマスクを持参し、役の交渉を。手荷物だったから、空港でセキュリティに驚かれたと思う笑」「ダンスは、脚本にはなく、群衆と曲のビートに合わせた…

15863:
2021-04-10 13:12

立会の時に客先から運用で 操作パネルのセキュリティ架かってる画面に有効/無効のボタン付けて有効時のみ正転できるようにしたいって言われて良くある内容だったからお願いしたらメッチャため息でやりますって マジ、一応ワシ昇進してお前上司になってるんじゃが…

15867:
2021-04-10 11:18

safeguards(保障措置)とsecurity(セキュリティ)とsafety(安全)の区別ができてる人って、1万人に1人くらいな様な気がする。メディアの人からして怪しいってのは厳しいなあ

15868:
2021-04-10 10:54

本件に関して東電を擁護するつもりは毛頭無いけど、保障措置(“safeguards”: 記事標題に登場)とセキュリティ(KK不祥事)の違いを理解してないっぽい方に説教されてるのが少し辛い

15869:
2021-04-10 08:21

「考えうるセキュリティ対策は全部やったほうがいいですよ!」という業者の提案を「ここまでで十分でしょ」と判断できるリーダシップをとれる人がいなくて、責任の所在があちこちにあると、こういう完成品が納品されてしまうのかな。そう考えると、東菱銀行のwebシステムはやたら素晴らしいな。

15865:
2021-04-10 06:32

IPsec Security Architecture for IP:IP(Internet Protocol)を拡張してセキュリティを高め、改ざんの検知,通信データの暗号化,送信元の認証などの機能をOSI基本参照モデルのネットワ…

15870:
2021-04-10 03:48

PCケース、ヨドバシで注文したの今朝くる予定だったから楽しみにしてたのに、注文キャンセルされてた…(;´∀`)(セキュリティ番号違い…?)くそー 再注文。明日届く予定だが…。

15858:
2021-04-10 01:06

6年も経ったら、タブレットのOSとか陳腐化するから、セキュリティ的に更新する必要が出てくる。IT弱い人が決めたな・・・

15857:
2021-04-10 00:24

使ってるクレカの会社から「先週海外のAmazonでお買い物の履歴があり、セキュリティで一旦止めてるんですがこちらお心当たりありますでしょうか!?」って電話かかってきたんですが、それAWS〜!?w 使った額も100円程度で、きちんとチェックして…

Recommended

TITLE
CATEGORY
DATE
静的サイトジェネレーター「VitePress 1.0」正式リリース。VueとViteを採用し、高速なWebサイトを構築
JavaScript
2024-03-26 15:55
ワークスペースシェアの「テレスペ」が「誰でも使える・誰でも提供できる」テレワーク個室専門予約サイトを公開
シェアリングエコノミー
2021-08-04 18:54
UBE、「SAP S/4HANA Cloud」導入でDX推進を加速–先読み経営へ
IT関連
2024-09-22 09:16
不正取引が「これまでになく」増加する中、Outseerは決済セキュリティツールに注力
セキュリティ
2021-06-13 00:15
Dart言語のフレームワーク「Flutter 2」公開。単一コードでiOS/Android/Web/Win/Mac/Linuxのネイティブアプリ実現。WebAssemblyによるレンダリングエンジン搭載
Dart
2021-03-08 17:42
Google、Androidアプリ手数料を15%にする「Play Media Experience Program」
アプリ・Web
2021-06-29 10:48
上海がロックダウン解除もサプライチェーン問題は続く見通し
IT関連
2022-06-07 19:40
Gunosy、脆弱性管理ツール「Snyk」を導入–セキュリティ対策を網羅的に実施
IT関連
2023-04-13 17:42
「Linux」のbashスクリプトとは–簡単なスクリプトを作成してみる
IT関連
2023-08-11 13:36
ウェザーニューズ、Snowflake経由でデータ提供
IT関連
2021-06-09 02:15
産業用AIで企業の未来を切り開く–IFSが「Unleashed 2024」開催
IT関連
2024-10-18 10:19
ファミリーマート、店舗スタッフ研修にVR活用–短期間での習得図る
IT関連
2023-03-30 16:21
IoT導入製造業の約9割が成果を実感、課題は費用対効果–IIJ調査
IT関連
2023-09-29 22:12
Pepper生産中止・肉の包装・ベリーの収穫、多数の資金調達が行われた今週のロボティクスまとめ
ロボティクス
2021-07-04 10:54