1. ホーム > 
  2. セキュリティ > 
  3. iNetSec > 
  4. blog > 
  5. blog20003

ITに潜む多様な脆弱性とは?その概要・リスクと企業での対策



近年、サイバー事件や、OS(オペレーティングシステム)サポート終了などのニュースでよくキーワードとなる「脆弱性」ですが、「正体がよくわからないから、そのままで大丈夫」、「セキュリティパッチで修正するソフトウェアの弱点」ぐらいに思われている方も多いのではないでしょうか?この記事では、IT運用の観点から少し広く脆弱性を捉え、その概要、リスクの事例、関連する取り組み、企業での対策などについてご説明します。



<関連記事>




脆弱性とは何か?意味と位置づけ


さて「脆弱性(vulnerability)」とはどのようなものでしょうか。ITにおける脆弱性とは、情報セキュリティ上の欠陥や弱点のことであり、「セキュリティホール」と呼ぶこともあります。

ITにおける脆弱性の範囲

一般的にはソフトウェアやWebサイトなどの設計上のミスが原因となって発生した、情報セキュリティ上の欠陥・弱点のことを指します(狭義の脆弱性)。しかし、IT運用全般におけるセキュリティ面での弱点と広く捉えれば、プログラムなどのソフトウェアに限らず、ハードウェア・ネットワーク・物理的環境・運用面での欠陥や弱点も脆弱性といえます(広義の脆弱性)。

脆弱性・脅威・リスクの位置づけ

情報セキュリティでは、「脆弱性」とあわせて「脅威」「リスク」「被害」といった言葉がよく使われます。少し混同しやすいのですが、この記事では以下のように使っています。

  • 脆弱性・・・狙われやすい弱点
  • 脅威  ・・・被害を引き起こす直接の原因や事象
  • リスク・・・被害にあう可能性やその大きさ
  • 被害  ・・・実際に発生した損害や案件。情報セキュリティでは実際に発生した案件を「インシデント」と呼ぶ場合もあります

家に泥棒が入ることに例えると、次の図のようになります。



「脆弱性」は鍵の壊れたドアであり、「脅威」は泥棒です。「リスク」は盗難被害にあう可能性やその被害額といえます。
ITの例に置き換えた場合、「脆弱性」はOSなどのセキュリティの欠陥、「脅威」はその欠陥に付け入って侵入してくるマルウェア、「リスク」はその攻撃によってもたらされる情報漏えいの可能性やその損害の大きさとなります。セキュリティパッチは、壊れたドアを直してくれる修理屋ですが、パッチを当てずに脆弱性を放置するということは、泥棒が目の前にいるのに、鍵の壊れたドアをそのままにしておくような状況です。

リスクの考え方

また、リスク(想定される被害額)を考える場合に、もう一つ重要な要素となるのが「資産」です。腕のいい泥棒が鍵の壊れた家にたやすく入っても、置いてある資産が小さければ被害は小さいものとなります。ITの世界でも同じことがいえ、セキュリティのリスクを以下のように捉えることができます。

セキュリティリスク = 脆弱性の深刻度 × 脅威の大きさ × 情報資産の重要性

腕の悪いコソ泥であっても、ドアの壊れた家に大金が置いてあれば、被害のリスクが高まるということです。

セキュリティパッチとウィルス対策ソフトの違い

どちらもコンピュータの安全を目的としていますが、セキュリティパッチがソフトウェアの「脆弱性」を修正するものであるのに対して、一般的なウィルス対策ソフトは、「脅威」に対して対策するものです。上の例では、セキュリティパッチは前述のとおりドアの修理を行います。それに対してウィルス対策ソフトは、犯人の手配書を持って玄関前で見張っているガードマンのようなものです。ウィルス対策ソフトにおいては根本的なドアの修理をしないので、手配書に載っていない泥棒には侵入を許してしまうことになります。

では、脆弱性には、具体的にどのようなものがあるのでしょうか。



ITには多様な脆弱性が潜んでいる


この章では情報セキュリティを脅かす脆弱性を広く捉え、以下のような分類をしました。それぞれの分類ごとに概要と代表的な脆弱性の具体例について述べます。
(あくまでも脆弱性の全体を俯瞰・イメージすることを目的とした分類であり、例えば共通脆弱性タイプ一覧(CWE)のような、一定の分類基準に則ったものではないのでご承知おきください。)


  1. ① ソフトウェアの脆弱性
  2. ② Webサイトの脆弱性
  3. ③ ハードウェアの脆弱性
  4. ④ ネットワークの脆弱性
  5. ⑤ ファシリティの脆弱性
  6. ⑥ 運用の脆弱性

①ソフトウェアの脆弱性

概要

OSや各種アプリケーションソフトウェアに含まれる設計上の欠陥などが該当します。なかでもOSなどの汎用的なソフトウェアは、利用者数が多く、また脆弱性によっては他者からリモート(遠隔)で命令を実行されるなど、影響の大きいものも少なくありません。汎用的なソフトウェアの脆弱性では、製品メーカーからセキュリティパッチが配布されることが一般的です。

具体例

よく知られているWannaCryなどのランサムウェアを拡散させたのは、Microsoftセキュリティ情報MS17-010で対応されたOSの脆弱性によるものです。詳細なメカニズムは割愛しますが、通信モジュールにバッファ・オーバーフローといわれる攻撃に対する脆弱性が存在しており、結果、管理者権限を奪取、不正プログラムが実行されました。

②Webサイトの脆弱性

概要

Webサイトの脆弱性は、インターネットから直接アクセスされるため、リスクも高いといえます。また、前項同様Webサイト構築に利用されている汎用的なソフトウェアに脆弱性が含まれる場合もありますが、それぞれの企業で提供するWebサービスやWebアプリケーションの設計上のミスによる「自責の脆弱性」も多いといえます。

具体例

Webサイトの脆弱性を狙った攻撃では、「SQLインジェクション」や「クロスサイトスクリプティング」などが有名です。

  • SQLインジェクションは、データベースに命令するSQLコマンドを不正に実行する攻撃です。通常は、Webサービスで定められたSQLコマンド以外は実行できませんが、Webアプリケーションの文字列処理に設計ミスなどの脆弱性があると、入力された値を適切に処理できず、SQLコマンドを誤った命令文と認識し、データベースを不正に操作されます。結果、顧客の情報が盗まれたり、データベースの情報が削除されたりするリスクがあります。
  • クロスサイトスクリプティングは、セキュリティ設定の不備(脆弱性)によって、自社のWebサイトに不正な「スクリプト(命令)」を埋め込まれ、スクリプト実行の結果「クロスサイト(悪意ある他者のサイト)」へ誘導されます。利用者は、偽物のサイトだと気づかずログイン情報やクレジットカード番号などを入力してしまい、個人情報のような重要な情報を盗まれる結果となります。

③ハードウェアの脆弱性

概要

ソフトウェアの脆弱性に比べると数は少ないですが、ハードウェアにも脆弱性は存在しており、ハードウェアの設計ミスによるものなどがあります。

具体例

具体例としては、「Row Hammer」や「Meltdown」などがあげられます。

  • Row HammerはPCなどで利用するメモリの高度化・ICチップの小型化で、メモリセル同士の間隔が狭くなり、お互いに電気的に干渉し合うことから、メモリの情報が隣接した領域に漏れ出すことで起こります。この脆弱性を突かれるとメモリ上のデータを盗み見される、メモリ上に展開されているデータを書き換えられるなどして、セキュリティ設定を変更されてしまうことが起こります。
  • MeltdownはCPUの処理スピード高速化に伴う先読みロジックの脆弱性であり、やはりメモリ上に展開している情報を盗み見られてしまうものです。

いずれのケースも、コンピュータの高度化によって生まれた新たな脆弱性です。

④ネットワークの脆弱性

概要

ネットワークの脆弱性には、ネットワーク関連機器の設定ミスなどによって外部からのアクセスを、適切にコントロールできていないケースなどが該当します。その結果、情報漏えいやネットワーク機能の停止、DDoS(Distributed Denial of Service)攻撃の踏み台にされるといったリスクがあります。

具体例

ネットワークの脆弱性として、「ファイアウォールの設定ミス」や「ルータのセキュリティ不備」などがあげられます。

  • ファイアウォールの設定ミスでは、本来閉じるはずのネットワークサービスのポートを解放していたことで、そのポートへの外部からのアクセスを受け付けてしまい、社内ネットワークへの侵入や不正なコマンド実行による情報漏えいのリスクがあります。
  • ルータのセキュリティ不備では、デフォルトのパスワード設定をそのまま残しているなどのミスによってルータが乗っ取られてしまい、その結果DDos攻撃の踏み台にされる、社内ネットワークが停止するなどのリスクがあります。

同様のセキュリティを意識しないといけないものに各種IoT機器のセキュリティがあります。これらについては、また次の記事でご説明します。

⑤ファシリティの脆弱性

概要

脆弱性は、ITの世界にだけ存在するものではありません。「ファシリティの脆弱性」とは、設備や施設などファシリティに存在するセキュリティの不備が該当します。

具体例

コンピュータを設置する施設の「無施錠」は盗難のリスクが、重要なデータを扱う施設で「入退室管理」ができていないと情報持ち出しのリスクなどが高まります。また入退出管理ができていても、施設外へ無線ルータの電波が届いてしまっていると情報漏えいのリスクが生まれます。

⑥運用の脆弱性

概要

運用の脆弱性は、企業における日々の業務プロセスや組織風土に存在するセキュリティ面の弱点を意味します。

具体例

一つのパスワードを複数名で使いまわす「パスワード管理の不徹底」や、重要なデータの入ったPCを無防備に社外へ持ち出す「セキュリティルールの不在」などがこれに該当します。
脆弱性というとまずソフトウェアが注目されますが、人の意識にも脆弱性は存在します。



脆弱性に関するメーカーや各種機関での取り組み


ではこれらの脆弱性には、どのように対策すれば良いのでしょうか?
各企業での対策を説明する前に、まずソフトウェアメーカーや各種機関における対応について述べます。

脆弱性発見~セキュリティパッチ配布までの流れ

前章では、IT運用の観点から広く脆弱性を捉え説明しましたが、ここでは影響の大きなソフトウェア製品の脆弱性を中心とした取り組みについて述べます。
まず脆弱性の発見からパッチの開発、修正プログラムの配布、利用者での更新は次の図の上段のようになります。



脆弱性の発見には、以下のようなケースがあります。

  • セキュリティベンダーやIPA(情報処理推進機構)、JPCERT/CC(JPCERTコーディネーションセンター)などの団体の調査
  • 有識者や一般人による情報共有による発見

そして発見された脆弱性は、IPAやJPCERT/CCを経てソフトウェアメーカーへ報告されます。ソフトウェアメーカーでの修正対応が完了すれば、利用者へのセキュリティパッチの配布が案内されます。利用者が、最終的に修正パッチを適用して対応完了となります。公開された後もセキュリティパッチを更新しないことは、大変危険です。

ゼロデイ攻撃とは!いきなり脅威がやってくる!

脆弱性の発見からセキュリティパッチの配布までの期間は、上記のイラストのようにセキュリティが無防備な状態になります。その無防備な状態を狙って攻撃する手法が「ゼロデイ攻撃」です。善良な人が脆弱性を発見しメーカーがパッチを配布するのが先か、悪意ある人が発見、攻撃するのが先かという攻防が繰り広げられています。前回の記事でご紹介したように、サポートの終了したOSではセキュリティパッチが発行されません。結果的にこのゼロデイ攻撃の脅威に永遠にさらされ続けることになります。

機関の取り組み

世の中で多く利用されているソフトウェアほど、脆弱性が発見されやすく、被害の最小化のために情報が共有されやすい傾向にあります。IPAでは、ソフトウェア製品やWebアプリケーションに関する脆弱性情報の円滑な流通、対策の普及を図る目的で「情報セキュリティ早期警戒パートナーシップガイドライン」*1を公開しています。



企業における脆弱性対策




次に企業における脆弱性対策では、自社のIT環境を多面的に捉えて「脆弱性を作りこまない」こと、そして日々の運用では「脆弱性の発見」に努めて、「速やかに排除する」ことが重要となります。
以下にITライフサイクルに沿った脆弱性対策のポイントを述べます。

脆弱性を考慮した設計・開発

自社システムやWebサイト構築にあたっては、多面的に脆弱性を理解・考慮した設計が必要となります。以下に設計をする上で重要なポイントを掲げます。

  • セキュリティ指針や手順に準拠した設計・開発
  • セキュリティが考慮された開発プラットフォームの選定
  • 脆弱性対策を含んだ開発委託契約
  • セキュリティを考慮したファシリティ設計、施工

脆弱性診断

自社で新たに開発されたソフトウェア・Webサイトや、構築されたネットワーク・インフラに対して、一定基準での脆弱性検査の実施が重要です。

  • 自社脆弱性チェックリストによる検査
  • ベンダーによる脆弱性診断サービス、ツールの利用

脆弱性に関する情報を把握する

脆弱性に関する理解を深め、どのような脆弱性が存在するのかを把握することが重要です。ソフトウェアに関する脆弱性は、「脆弱性対策情報データベース」*2などで検索することが可能です。

脆弱性対策の運用徹底

まず、社内に存在するIT機器全てのソフトウェア版数とセキュリティパッチの適用状況を把握することが重要です。その上でWindowsなどのように定期的にアップデートされるものに関しては、常に最新状態に保つことを心がけましょう。

脆弱性発見時の対応

社内に脆弱性を発見した場合は、以下のような流れで対応します。運用に関する脆弱性報告などがあがった場合も同様の流れでの対応となります。

  • 社内全般における当該脆弱性の把握
  • 対処範囲および対応方針検討・策定
  • 実施計画(工数・スケジュール)策定
  • 脆弱性対策の実施


まとめ


本記事では、「脆弱性とは何か?」を述べるとともに、ITに潜む脆弱性を少し広い観点で分類し、それぞれに概要・リスク・具体例などをまとめました。また企業における脆弱性対策では、ITライフサイクルにおいて「作りこまない」「早期に発見・排除する」を指針として、脆弱性に関する対策のポイントと日々の脆弱性の把握、管理の重要性を述べました。
皆様のIT推進の一助となれば幸いです。



社内機器の脆弱性把握にあたって

社内での脆弱性把握において、次のような課題も少なくありません。

  1. ① OSやセキュリティ対策ソフトの版数が把握できていない
  2. ② 修正パッチが適用されているか確認できない
  3. ③ 社内で利用されている端末を把握できていない
  4. ④ 脆弱性を持つ端末が放置されている

このような課題をお持ちの方は、iNetSec SFの検討をお勧めします。



iNetSec SFは、セキュリティ対策の第一歩をサポート



PFUが提供するiNetSec SFは、以下のような基本的なセキュリティ基盤を提供し、対策の第一歩をサポートします。

①社内ネットワークの見える化

iNetSec SFを社内ネットワークに接続するだけで、接続されているIT機器をリアルタイムに見える化、把握することが可能。

②接続IT機器の脆弱性把握

接続されているIT機器のOS版数やセキュリティパッチ等の状況を一覧し、脆弱性状況を把握することが可能。

③ウィルス対策ソフトのパッチバージョン把握

端末にインストールされているウィルス対策ソフトのパッチを把握し、最新でない端末はネットワークから遮断することが可能。

④リスクのある端末をネットワークから遮断

持ち込み端末やセキュリティパッチのあたっていない脆弱な端末をネットワークから自動遮断して、クリーンなIT環境を維持。

脆弱性を把握・対策するためには、社内のIT機器管理が重要です。
iNetSec SFは、貴社の脆弱性対策をサポートします。


「iNetSec SF」の詳細はこちら

Windowsは、米国Microsoft Corporationの、米国、日本およびその他の国における登録商標です。


<注釈>

前の記事へ
次の記事へ