セキュリティ管理者を悩ませる「脆弱性まつり」がもっと深刻になる理由

今回は「セキュリティ管理者を悩ませる「脆弱性まつり」がもっと深刻になる理由」についてご紹介します。

関連ワード (セキュリティ、企業セキュリティの歩き方等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。

 セキュリティ管理者は、自社のシステムの脆弱性情報に、常に気を配っていなくてはならない。なぜなら、そのシステムがどんなに安全だったとしても、脆弱性が絶対にないことを保証しているわけではないからだ。脆弱性情報が公開されれば、システムにどれだけ堅固なセキュリティ対策を施していても、攻撃者はそのシステムにやすやすと侵入できてしまう。脆弱性とは、システムの「アキレス腱」と言えるだろう。脆弱性対策は、統合型セキュリティソフトの運用に加え、発見された脆弱性の“穴”をふさぐための適切なアップデートが必須となる。

 しかしながら、脆弱性情報の公開は、ユーザーにおけるシステムの運用状況やリリース計画などを考慮してくれるようなことがない。そして、脆弱性情報が公開されるや否や、サイバー攻撃者が脆弱性を放置している企業や組織などに攻撃を仕掛けてくる。攻撃者がこのような絶好のチャンスを逃がすはずはないからだ。今回は、このやっかいで避けることができないシステムの脆弱性と、それを取り巻く現状や対策について述べていく。

 脆弱性情報の公開と修正パッチの提供は、ほとんどの場合セットになる。なぜなら、対策がない状態で脆弱性情報を公開したら、該当するシステムが攻撃されるままになってしまう恐れがあるからだ。そのため、脆弱性情報の公開時に修正パッチがあることが大前提である。

 自社のシステムの脆弱性情報が公開された場合、セキュリティ管理者(またはシステム管理者)は、その修正パッチを適用すれば、ある意味で自分の責任を果たすことになる。しかし現実問題として、脆弱性の問題を迅速に把握し、即時アップデートを施すことは、管理者にとってなかなか骨の折れる作業だ。

 そもそも、利用しているシステムの全てを詳細に把握するのは簡単ではない。さらに、脆弱性問題の影響がPCやその他のデバイスに及ぶとなると、その対応のための作業もまた膨大にならざるを得ない。数が膨大になればなるほど、把握するのは難しくなる。

 そして、管理を厳密にしたいなら、これに加えて、「最新の脆弱性情報において重要度『緊急』レベルのアップデートを必要とする端末の所在」や「従業員が個別にインストールしたアプリケーションの把握と適切なアップデート状況の把握」ということを全て遅滞なく実施しなくてはならない。このようなことを限られた人員で行うのは至難の業だ。

 さらに、修正パッチの適用後も問題なくシステムが動作するかどうか検証しなければならない。特に、ミスや停止が許されないミッションクリティカルなシステムの場合、実際にパッチを適用して修正するまでの作業項目を洗い出すだけでも、それなりに時間がかかる。

 このようにセキュリティ管理者は、繁忙期や閑散期に関係なく、突発的な脆弱性情報の公開に、限られたリソースで対応し続けている。そのため、脆弱性情報が公開されたら、すぐ修正パッチを適用できる場合は、それほど多くはない。

 また、脆弱性情報の公開後には、昼夜を問わない対応を強いられることも少なくない。攻撃者側は、脆弱性の内容を把握して、脆弱性を悪用する際に用いる「エクスプロイトキット」をすぐに作成する。作成の後、そのまま攻撃に移行することもあれば、「ダークウェブ」と呼ばれる一般の人には閲覧できない闇市場でこのツールを販売することもある。そうなってしまうと、脆弱性を抱えたシステムに対する攻撃のリスクが高まる。エクスプロイトキットさえあれば、技術力があまりない人間でもサイバー攻撃を実行できるからだ。

 一方、セキュリティ管理者は、脆弱性の存在を把握してから自社のシステムにおける修正パッチ適応の必要性、可否などを調査し、さらに準備しておいた開発環境で事前に検証をする。そのプロセスが全て済んだタイミングで、やっと本番のシステムに修正パッチを適用する。攻撃者とは、攻撃を受けるまでに作業を完了できるかの競争だ。それは、スピードの勝負となり、まさにお祭り騒ぎの様相となる。そして、このような状況を「まつり」と称することが、現在ではそれなりに一般化してしまった。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
西松建設、シスコの次世代ネットワーク基盤を月額定額サービスで導入
IT関連
2021-03-10 05:01
民意とすれ違う聖火リレー、止められないテレビの美談報道とネット反応の転換期 :小寺信良のIT大作戦(1/2 ページ)
トップニュース
2021-05-16 21:39
ビックカメラ、希望者全員への職域接種を完了 社員や取引先など約1万7500人
企業・業界動向
2021-08-14 14:18
FIREを実現する4つの道筋、マネーのライフプランの作り方(その1)
IT関連
2021-07-07 04:50
いま求められる、改ざん不能を武器とするブロックチェーンの応用
IT関連
2021-03-05 04:34
1日に必要な栄養素の3分の1を1食で摂れるBASE FOOD提供のベースフードが20億円調達、新商品開発を加速
IT関連
2022-02-25 10:45
Aurora Propulsion Technologiesの宇宙ゴミ除去技術が2021年第4四半期に宇宙へ
宇宙
2021-08-19 11:26
「iPhone 13」の生産体制は「コロナ前」のスケジュールに戻った?
IT関連
2021-05-28 05:45
日本郵便、全国約4000カ所ある簡易郵便局の管理台帳を統合–事務作業を70%以上削減へ
IT関連
2022-09-02 09:26
理研と東大、マウスの脳の全細胞を解析するクラウドサービスを開発
クラウドユーザー
2021-06-24 15:16
BBIX、レイヤー2の閉域接続サービスを開始–マルチクラウドに対応
IT関連
2022-06-01 20:08
Linuxサーバーを「macOS」から監視するには–「ServerCat」を使って簡単に
IT関連
2022-05-27 09:48
2日続けて日経平均急落、米中対立激化の日本株への影響も要警戒
IT関連
2021-04-22 17:58
炭素排出量・ESG管理のB2BプラットフォームのドイツPlan Aが約3.3億円調達
EnviroTech
2021-03-12 16:32