企業・団体における情報セキュリティ対策やIT資産管理、サイバー攻撃に関する情報などITに関わるさまざまな情報を随時掲載しています。

Sky株式会社

SKYSEA Client View
情報セキュリティ対策
公開日2024.10.28

第21回脆弱性とどう向き合うか

著者:Sky株式会社

脆弱性とどう向き合うか

他社のシステムに侵入する『ペネトレーションテスト』を業務とする筆者が、攻撃者の目線でセキュリティ対策について考えます。

上野 宣

株式会社トライコーダ 代表取締役

上野 宣

奈良先端科学技術大学院大学で情報セキュリティを専攻。2006年に株式会社トライコーダを設立。ハッキング技術を駆使して企業などに侵入を行うペネトレーションテストや各種サイバーセキュリティ実践トレーニングなどを提供。

脆弱性を放置すると何が起きるのか

攻撃者が主に侵入で利用する手法は2つあります。1つは「ユーザーID / パスワードなどを入手して認証を突破する方法」、そしてもう1つが「脆弱性を悪用する方法」です。システムの欠陥である脆弱性を悪用することで、攻撃者は以下のような行動を実行することが可能になります。

  • システムへの侵入や機密情報の窃取などの不正アクセス
  • DoS攻撃などのサービス妨害
  • データやWebサイトなどの改ざん
  • マルウェアやランサムウェアなどのインストール

脆弱性を放置すると、組織に甚大な被害をもたらす可能性があります。これらのリスクを軽減するためには、脆弱性に対して適切に対応することが必要です。

組織はどのように脆弱性を把握するのか

組織が対応すべき脆弱性は、さまざまな経路で知ることになります。

  • 組織内のセキュリティチームや開発チームが実施した脆弱性診断の報告書
  • 外部の脆弱性診断事業者が実施した脆弱性診断の報告書
  • JVNやJPCERT/CCのセキュリティアドバイザリやベンダーからの情報提供

Sky株式会社のように自社製品やサービスを開発・提供している組織の場合は、以下の経路からの報告もあります。

  • 「バグバウンティプログラム」と呼ばれる、脆弱性を発見し報告すると報奨金がもらえる制度を通じた外部の研究者などからの報告

ほとんどの脆弱性情報は公開情報であるため入手が容易ですが、自社で使用している製品やサービスに関する情報の場合は、担当者が能動的に収集する必要があります。

どの脆弱性を優先的に対応するのか

脆弱性には、不正アクセスにつながるような危険なものから、悪用される可能性がそれほどないものまであり、リスクの大きさはさまざまです。また、脆弱性がどのシステムに存在するのかといった条件や環境によってもリスクの大きさは変化します。「おそらくこの脆弱性のリスクは低いだろう」と甘く見積もって対応を誤ると、被害拡大につながる恐れがあるため注意が必要です。 一方で、脆弱性対応のリソースには限りがあるため、適切かつ迅速に優先順位をつけて対応する必要があります。リスクの高い脆弱性から優先的に対処すべきですが、どのように判断すればよいのでしょうか。脆弱性対応の判断フローは下記のとおりです。

脆弱性トリアージガイドラインを作る

判断フローの影響分析、リスク評価、対応方針決定は迅速に行う必要があります。そのため、あらかじめ決められたルールに従って簡単に判断できるガイドラインを作成しておくことをお勧めします。対象の組織やシステムによって重要視される点は異なるため、それぞれの組織やシステムに適した優先順位づけ(トリアージ)のガイドラインが必要です。迅速な脆弱性トリアージが可能な体制を構築するために、ルールを決定しておきましょう。

ガイドライン作成のルール

1.関係者の役割と責任を明確にする

脆弱性対応にはシステム担当者や事業責任者など、さまざまな人が関与します。迅速なトリアージのためには、各関係者の役割と責任範囲を明確にしておく必要があります。

2.トリアージガイドラインの適用範囲を決める

システムの重要度によってトリアージの基準が異なることがあります。そのため、このガイドラインをどのシステムに適用するのかといったスコープを明確にしておく必要があります。

3.脆弱性情報の収集方法を決める

脆弱性の具体的な内容や原因を理解するためには、ある程度の専門知識が必要です。情報は、信頼できる情報源から収集する必要があります。国内であれば、以下の情報源を活用するのがお勧めです。

4.トリアージの基準を決める

迅速な対応のためには統一的なトリアージの基準を設定することが重要です。対応の優先度は、対象資産の重要度と脆弱性の危険度を基に決定します。優先度の区分は3段階程度で決めることをお勧めします。

対象資産の重要度評価

攻撃された際のビジネスインパクトを検討し、資産の種類や影響を与える規模、利用者層などを基に重要度を高中低の3段階で判断します。

脆弱性の危険度評価

多くの脆弱性報告書が採用している「CVSS基本値」という危険度の評価軸を基に、危険度評価 高(CVSS 7.0~10.0)、危険度評価 中(CVSS 4.0~6.9)、危険度評価 低(CVSS 0.0~3.9)のように3段階で判断します。

5.対応の要否と期限を決める

資産の重要度と脆弱性の危険度を基準に、何日以内に修正対応を行うかを決めます。明確な日数でなくても「次回メンテナンス時に実施」などの基準でも構いません。これらの基準を用いて優先度マトリックスを作成します。

6.脆弱性の管理方法を決める

脆弱性の対応状況を管理するために、脆弱性の概要、対応ステータス、対応期限、対応完了日、担当者などを記録します。対応状況を適切に管理することで、対応漏れやミスを防ぐことができます。初期段階ではMicrosoft Excelなどのファイルなどで管理するとよいでしょう。

さらに詳細な情報が必要な方は、脆弱性診断士スキルマッププロジェクトが公開している「脆弱性トリアージガイドライン作成の手引き」も参考にしてください。参考となるテンプレートも公開されています。

(「SKYSEA Client View NEWS Vol.98」 2024年10月掲載)