脆弱性対策とは？情シスが知っておきたいサイバー攻撃対策の基本

  「脆弱性ぜいじゃくせい」とは、OS・ソフトウェア、ネットワーク等に潜む情報セキュリティ上の“弱点”です。この弱点を攻撃されることで、大きな被害につながるケースもあり対策は欠かせません。今回は、この脆弱性の概要と基本的な対策についてご紹介します。
なお、このnoteは主に中堅・中小規模の企業の新任情シスや兼任情シス向けの内容です。

1．脆弱性の概要と、脆弱性を放置すると危険である理由

情報セキュリティ上の弱点や欠陥、ほころびなどと言われる「脆弱性」。改めてこの用語について見てみると、総務省ではその意味を次のように述べています。

脆弱性ぜいじゃくせいとは、コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生したサイバーセキュリティ上の欠陥のことを言います。脆弱性は、セキュリティホールとも呼ばれます。

総務省「国民のためのサイバーセキュリティサイト」

この「脆弱性」の歴史を紐解くと、2000年代はじめ頃より脆弱性を悪用されるサイバー攻撃が懸念されるようになったことが転換期の1つと考えられます。2004年、経済産業省により「ソフトウエア等脆弱性関連情報取扱基準」が交付されると、これまで定かではなかった脆弱性に関するルールが整備されていきます。こうして、脆弱性情報の届出窓口としてIPA（独立行政法人情報処理推進機構）が、脆弱性関連情報の製品開発者への連絡と公表に関わる調整機関としてJPCERT/CC（一般社団法人JPCERTコーディネーションセンター）が定めらるようになったという経緯があります。そして今では、届けられた脆弱性情報を被害の拡大・再発の防止、情報セキュリティ対策の向上に役立てられるような環境が整備され続けています。
（参考）IPA　脆弱性対策ページ

脆弱性の種類を整理すると、ソフトウェア（OSやアプリケーション）の脆弱性、ハードウェア（PCやサーバ、その他物理的なデバイス）の脆弱性、ネットワークの脆弱性（ファイアウォール、ルータ等ネットワーク機器やソフトウェア、サービス）が考えられます。これらの脆弱性を悪用されることで企業には様々な被害が生じてしまいます。では、脆弱性を放置してしまうとどのような問題が生じるのでしょうか。いくつか起こりうる問題点を挙げます。

・外部からのサイバー攻撃被害

昨今、サイバー攻撃は金銭を目的に高度化・巧妙化しています。そのため、攻撃を行うターゲットを調査し、その弱点から攻略しようと試みています。例えば、すでに情報公開されているセキュリティホールを攻撃するというケースが考えられます。

IPA「『標的型メール攻撃』対策に向けたシステム設計ガイド」をもとに作成

・ウイルス（マルウェア）感染

メール、Webサイトなどを経由して感染することが多いマルウェアですが、対策できていないことで大きな被害につながる場合もあります。例えば、権限昇格（特権昇格）攻撃のように、不当なアクセス権限を取得し、重要なデータを持つサーバを攻撃することもあります。近年増加しているランサムウェアなどの被害につながることも考えられます。

・ビジネス・金銭面での被害

脆弱性対策を実施しないことにより取引先等に被害が生じた場合には、取引停止などにつながるばかりではありません。多額の賠償金が発生する、業界での信頼を損なうなど、様々なトラブルが発生することも起こり得ます。また、主要なサーバなどが攻撃されてビジネスが止まってしまい、大きな損害が発生することも考えられます。被害の内容によっては、企業存続に影響が出ることも考られます。

このように、脆弱性に対処しなければ、PCやサーバなど社内のシステムが攻撃されてしまうばかりではなく、会社のビジネスそのものにも悪影響を及ぼしてしまいます。このような被害に遭わないためには脆弱性対策が必要となりますが、どのような対策が考えられるのか次項でご紹介します。

2．脆弱性対策に必要な情報収集

脆弱性対策には、身近なところではOSやソフトウェアのアップデートを行うことが挙げられます。最新版にすることで、既知の脆弱性が修正されていると考えられます。また、情シスとしては脆弱性に関する情報を収集することも重要でしょう。ここでは、情報収集に役立つサイト等をいくつかご紹介します。

IPA　情報セキュリティ
「重要なセキュリティ情報」として、様々なOSやアプリケーション等に関する最新の脆弱性情報が提供されています。

情報セキュリティ | IPA 独立行政法人 情報処理推進機構

IPA　脆弱性対策関連ガイド
EXサイト構築・運用、ネット接続品の選定・利用ガイドなどガイドラインが提供されています。

脆弱性対策関連ガイド | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

 JPCERT/CC 脆弱性対策情報
脆弱性対策情報ポータルサイトであるJVNなどを紹介しています。

JPCERT コーディネーションセンター 脆弱性対策情報

3．ある企業の脆弱性診断ケーススタディ

自社の脆弱性を正しく認識し、適切な対策を行いたいという場合には、脆弱性を診断するサービスを利用するという方法もあります。ここでは、ある企業が行った脆弱性診断（※）を例に、どのような項目が診断されるのかを見てみましょう。

▲「脆弱性診断サービス」を利用した場合のイメージ

（1）プラットフォーム診断

サーバやネットワーク機器の状態を確認して、OSやミドルウェア、ソフトウェアに既知の脆弱性が潜んでいないかを診断しました。

（2）Webアプリケーション診断

自社のWebアプリケーションに潜むセキュリティ上の問題がないかを診断しました。

（3）スマホアプリ診断

スマホアプリにセキュリティ上の問題点がないかを確認しました。リバースエンジニアリングによるアプリの挙動解析も行いました。

（4）ペネトレーションテスト

外部から侵入テストを実施したり、すでに内部に侵入されたという状況を想定した擬似攻撃を実施しました。擬似攻撃成功時にサーバ等のIT資産からどこまで情報を持ち出すことができるかをテストしました。

（5）Active Directory 脅威診断

最近増えている、Active Directoryを狙ったサイバー攻撃を受けていないか診断しました。脅威を検出したり、脅威発生時に分析するために必要な監査ログの設定が適切に行えているかの診断も行いました。

診断の結果は下図のように表示されます。このような結果をヒントに自社の弱点を知り、適切な対策を行うことができます。

 ※脆弱性診断サービスを利用した場合のイメージ

しかし、近年では「ゼロデイ攻撃」と呼ばれる、OSやソフトウェアの脆弱性が発見されたときに、メーカーなどが修正プログラムを配布する前に行われる攻撃にも注意が必要と言われています。完全な脆弱性対策というのは難しいですが、起こり得る危機を認識して、脅威の侵入前から侵入後も含めた包括的な対策を検討することが必要でしょう。

おわりに

今回は、脆弱性という言葉と脆弱性対策、脆弱性診断についてご紹介しました。セキュリティ対策を考える上で欠かせない脆弱性対策ですが、自社の実情を正しく知り、適切な対策を検討してみてはいかがでしょうか。また、情シスが考えるべき様々なセキュリティ対策について知りたい方は、下記のリンク先等も参考にしてみてはかがでしょうか。

＜関連記事＞

Security Update 2023…レベル別に考える、セキュリティ対策のNEXTステップ ｜ 情シスレスキュー隊

また、ソフトクリエイトは「情シスレスキュー隊」にて、情シスに役立つ様々な情報を発信しています。こちらもぜひご覧いただき、情シス業務にお役立てください。

情報システム部の悩みや課題を解決する、情シスサポートメディア | 情シスレスキュー隊