「継続こそチカラなり」~脆弱性管理の必要性と効果を語る~
プラットフォーム脆弱性管理にありがちな盲点を、シーイーシーのホワイトハッカーが連載形式で紹介します。初回は、脆弱性管理の盲点に触れる前に、脆弱性管理の必要性と効果について解説します。
脆弱性管理の必要性
脆弱性管理は、以下のようなサイクルで行います。
上記のサイクルは、定期的に実施しなければ十分なセキュリティは担保されません。主な理由は次の通りです。
脆弱性は発見され続ける
脆弱性とは「発見され続けるもの」です。OSやソフトウェアから検出された脆弱性は、提供されるパッチや更新プログラムの適用によって是正されます。しかし、新たな脆弱性は次々と見つかるため、常に管理し続ける必要があります。
システム構成の変更によって、脆弱性が生じる可能性がある
設定値の変更など、システム構成を変更した際には、再診断をしなければセキュリティを担保できません。例えば、ある機能を有効化したことで、意図しないポートを開放してしまう、など気付かぬところに想定外の影響を及ぼす恐れがあります。
セキュアとされていた技術が通用しなくなる
例えば暗号技術の場合、プロトコルのTLS1.0や、暗号アルゴリズムの3DESなど、過去にはセキュアといわれた技術にも今や脆弱性が見つかっており、これらがどこで使われているか、脆弱性診断を行なければ発見は難しいとされています。
1ホストに数十個もの脆弱性が見つかり、それぞれ対策が異なるなどは良くあることで、これを複数ホストに徹底するとなるとかなり大変です。脆弱性が検出されても、重要度の評価や対策要否の判断が難しい、コストが割けないなどの理由で、是正対処が十分ではない組織も多いかもしれません。
脆弱性管理サイクルの回し方
脆弱性管理は、前述の「脆弱性管理のサイクル」に沿って実施します。
① 対策実施対象の選定
インターネットへ公開しているホストを中心に、脆弱性管理の実施対象を選定します。
② 脆弱性の検出
脆弱性の検出手法には2種類あります。
【脆弱性診断】
脆弱性スキャンツールを用いるなどして、サイバー攻撃における偵察行動を再現し、次のようなセキュリティリスクを検出します。
・外部からアクセス可能なサービス
・外部から判読可能な提供すべきではない情報
・セキュリティ上問題となる設定不備
・OS・アプリケーションなどに含まれる脆弱性
【パッチ管理】
対象ホストのシステム構成を基にインターネット上の脆弱性情報を収集し、OS・アプリケーションなどに含まれる脆弱性を検出します。脆弱性診断と比べると得られる情報は限定されますが、コストは低減される傾向にあります。
脆弱性診断でしか判明しない情報が多いため、少なくとも初回の脆弱性検出時には、診断の実施をお勧めします。また、一度行えば後はパッチ管理だけで安心というわけではなく、できればシステム構成を変更の度に診断を行ってください。
③ 脆弱性評価・対策判断
検出した脆弱性は、CVSS(共通脆弱性評価システム)や脆弱性情報を基に評価や対策判断を進めます。検出したすべての脆弱性に是正が必須なわけではなく、享受可能と評価した場合や、脆弱性に関わる機能を使用していない場合などは、是正対象外にできます。また、評価判断が難しい場合も、「境界線とするCVSSスコアを決め、それより高い脆弱性を是正対象とする」、「診断を実施したITベンダーに相談する」などアプローチ方法は色々あるため、敷居の高い作業と構える必要はありません。
④ 脆弱性の是正
バージョンアップ、パッチ適用、設定変更によって脆弱性を是正します。
⑤ 脆弱性の再検証
脆弱性診断を再度行い、問題なく是正されていること、是正により他の脆弱性が新たに検出されないことを確認します。
脆弱性管理の効果
脆弱性管理は確かに大変です。しかし、脆弱性評価などいわゆる「Offensive Security」の観点で適切な管理が継続されていると、その見返りとして以下のような効果が見込めます。
「脆弱性診断」でAttack Surfaceを最小化し、管理コストを削減
「Attack Surface」とは、悪意を持った攻撃や不正アクセスを誘発する可能性のある箇所をいいます。Attack Surfaceが広い(多い)ほど攻撃の機会が増えるため、最小限に抑えることが重要です。例えば、ポートを不要に開放している場合、そのポートを見張るのではなく閉じてしまえば、以後は監視せずともセキュリティを担保できる、ということです。これはAttack Surfaceの最小化 と呼ばれる作業で、セキュリティ対策として効率の良い手法の一つとされています。
「恰好の餌食」にならない
「NICTER観測レポート 2023」によると、NICT(国⽴研究開発法⼈情報通信研究機構)がダークネット(※)において観測した総パケット数のうち、約63.8%が調査目的とされています。これは相当数の偵察行為が行われていることを示しており、その数は年々増加傾向にあるといわれています。そういった偵察行為によって見つかる脆弱性が初歩的であればあるほど、システム内部も脆弱であると推測され、必然的に攻撃者に狙われる可能性も高くなると考えられます。「ウチは小さな組織だから、そもそも狙われないよね」なんてことも残念ながらありません。
※ダークネット:
インターネット上で到達可能かつ未使用のIPアドレス空間のこと。ダークネットに到着するパケットを観測することで、インターネット上の不正な活動の傾向把握が可能になる。
出典:
信頼性の維持・向上に繋がる
脆弱性管理は、組織におけるリスク管理の一環です。脆弱性管理を皮切りに運用の幅を広げ、ゆくゆくはISOのセキュリティ関連の認証を取得するなど、組織の信頼性の高さを証明する活動に繋げることも可能です。
まとめ
今回は脆弱性管理の必要性と効果を説明しました。
「脆弱性管理の継続によって、サイバー攻撃の対象となるのを避け、セキュアな組織であることを証明する」。言うのは簡単ですが、コスト面や技術力の習得など、思うようにいかず悶々としている組織もあるかもしれません。
本シリーズで、脆弱性管理の盲点について順次取り上げ紹介することで、微力ながらも脆弱性管理を推進するみなさまのお力になれればと考えています。次回もぜひご覧ください!