特集
» 2020年02月05日 08時00分 公開

脆弱性を狙う攻撃への対策はなぜ難しい? 管理が追い付かない理由と対処法

システムの脆弱性を狙う攻撃は増加している。コストとリソースが膨大にかかる脆弱性対策には、管理ツールの活用が要だ。脆弱性対策の課題やツール選定の要点とは?

[土肥正弘,ドキュメント工房]

脆弱性を狙う攻撃は増加 サービス停止に追い込まれた事例も

 2017年に流行したランサムウェア「WannaCry」を覚えているだろうか。Windowsの脆弱(ぜいじゃく)性を狙ったワーム型のマルウェアで世界中の病院・銀行・有名企業に被害をもたらしたという事件だ。

 脆弱性を狙った攻撃の例として記憶に新しいのは、2019年1月に発生した「宅ふぁいる便」への攻撃だ。サーバの脆弱性を突かれ、不正アクセスの被害にあった。このケースではパスワードの平文保存など致命的なミスが重なり大規模な個人情報漏えいに至った。

 昨今では、IoT機器の脆弱性を狙う攻撃も多数発生している。国内のセキュリティ関連組織は脆弱性対策への注意喚起や調査に注力し、経済産業省「サイバーセキュリティ経営ガイドライン」などの公的ガイドラインも、脆弱性の識別および評価と対策についても警鐘を鳴らす。

ツール無くして脆弱性管理は追い付かない

 喫緊の課題である脆弱性対策だが、日々公開される脆弱性情報は増加し、企業システムの照合は年々難しくなっている。さらに、脆弱性管理はアセット把握から関連する脆弱性情報の入手、アセット情報とのマッチング、リスク評価、そして対応まで一連の管理サイクルを常に回し続けなければならない(図1)。

図1 脆弱性管理のライフサイクル

 企業によっては、そもそも正確にアセットを把握できていなかったり、リスク評価プロセスが十分でなかったりするケースもある。そういった状況では、ただでさえ増加する脆弱性情報への対応は困難を極めるだろう。

アシスト システム基盤技術統括部 技術3部 中澤浩二氏

 アシストの中澤浩二氏(システム基盤技術統括部 技術3部)は「脆弱性の有無や影響度の確認には膨大な工数を要します。また、パッチ適用の判断も難しく、多くの企業では専門的な知見のある人材も不足しています。だからといって外部委託をしても多額のサービス費用がかかってしまう。適切に脆弱性を管理するには複数のハードルを超えなければなりません」と話す。さらに、先述したようにアセットを把握しきれていなかったり、そもそも自社システムの脆弱性情報を適切に入手できていなかったりといった根本的な問題にも、多くの組織が頭を抱えているという。

 加えて、半数の攻撃(エクスプロイト)コードは脆弱性情報の周知から、およそ2週間以内に公開される。脆弱性発見数が増加の一途をたどる以上、迅速かつ効率よく対応を施し続けなければならない。

※本稿は2019年10月17日「アシストテクニカルフォーラム2019 in 東京」での講演を基に再構成した。


自社に最適な脆弱性管理をどう見つければよいか、4つの判断指針

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

ホワイトペーパーや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。