近年、インターネットの爆発的な普及に伴い、サイバー攻撃やセキュリティインシデントの被害が増加しています。その原因がシステムの弱点となる「脆弱性」です。
脆弱性情報を収集して活用することは、セキュリティインシデントの予防、早期発見、迅速な対応につながり、組織の情報資産を守るうえで非常に重要です。
本記事では、脆弱性情報の効果的な収集方法、脆弱性の確認ポイント、収集した情報の活用方法について解説します。
脆弱性情報の収集方法
脆弱性情報は様々な組織、機関、団体から公表されています。まずは主要なデータソース及び収集方法について解説します。
JPCERT/CC
JPCERT/CC(Japan Computer Emergency Response Team Coordination Center)は、日本におけるコンピュータセキュリティインシデントへの対応を行う組織です。国内外のセキュリティ関連情報を収集し、Webサイトでセキュリティアドバイザリや脆弱性情報、注意喚起を公開しています。
IPA
IPAは、情報処理推進機構(Information-technology Promotion Agency, Japan)の略称です。経済産業省のIT政策実施機関として、情報セキュリティ対策の強化やIT人材の育成などにも取り組んでいます。
セキュリティインシデントへの対応支援、脆弱性情報の収集と公開、セキュリティ意識の向上を図るための啓発活動などを実施しており、JPCERT/CCとともに日本国内における情報セキュリティの中心的な役割として機能しています。
JVN
JVN(Japan Vulnerability Notes)は、JPCERT/CCとIPAが共同で運営する、日本の脆弱性情報の共有・提供を目的としたデータベースです。脆弱性情報の詳細や影響度、対処方法などを公開しています。
JVN iPedia
JVN iPediaは、JVNが提供する情報を含む、脆弱性情報を集積したデータベースです。JVNが新たなセキュリティ情報をいち早く提供するプラットフォームであるのに対し、JVN iPediaは日々発見される脆弱性対策情報を蓄積し、アーカイブ機能や検索機能を実装して幅広く利用することを目的としています。
NVD (National Vulnerability Database)
NVDは、アメリカの国立標準技術研究所(National Institute of Standards and Technology:略称NIST)によって運営されている、セキュリティ上の脆弱性に関する情報を収集・分類して公開する公式データベースです。
システムの脆弱性を評価し、適切なセキュリティ対策を講じることができます。世界で最も広く利用されている脆弱性情報のソースです。
Exploit Database
Exploit Databaseは、セキュリティ研究者やペネトレーションテスターが公開している、実際に使用可能な脆弱性のエクスプロイトコードや攻撃手法を収集したオンラインデータベースです。セキュリティ研究者が、新たに発見された脆弱性の悪用方法を共有するためのプラットフォームで、システムのセキュリティ検証を行う際の実践的なリソースとして利用されています。
OWASP (Open Web Application Security Project)
OWASPは、Webアプリケーションのセキュリティに関する包括的な情報、ガイドライン、ツール、リソースを開発者、セキュリティ専門家、組織に提供しています。
OWASPが毎年発表する OWASP Top 10は、Webアプリケーションに新たな脅威やトレンドを反映し、最も頻繁に見られるセキュリティの脆弱性をランキング形式で示したものです。セキュリティ対策の基準として、開発者やセキュリティ専門家に広く活用されています。
これらのデータソースは、日々発見される脆弱性や各ベンダーが発表している脆弱性など、情報連携され、世界中で発信されています。紹介したデータソースのほとんどがメーリングリスト、RSSフィード、SNS、セミナーやフォーラムなどによる情報提供を行っています。
脆弱性情報の確認ポイント
脆弱性情報を収集した際の主な確認ポイントについて解説します。
CVE識別子
Common Vulnerabilities and Exposures (CVE) とは「共通脆弱性識別子」を意味し、情報セキュリティにおける脆弱性に一意の番号を付与した辞書システムです。米国政府の支援を受けた非営利団体のMITRE社が提供しています。このCVEのIDを確認することで、特定の脆弱性情報を参照できます。
脆弱性の概要
脆弱性の簡潔な説明、その性質、実際の影響及び影響を受けるシステムやコンポーネントを確認します。
影響を受ける製品/バージョン
どのソフトウェアやバージョンが脆弱性の影響を受けるかを確認します。
脆弱性の深刻度
脆弱性の影響の重大さを示す指標 (CVSSスコア) を確認します。CVSS (Common Vulnerability Scoring System) スコアとは、コンピューターシステムのセキュリティ脆弱性の重大性を評価するためのフレームワークです。脆弱性の重要度を数値で表し、脆弱性を比較して優先順位付けやリスク管理の決定をサポートするために広く利用されています。
また、CVEと連携して使用されることが多く、CVEエントリーには関連するCVSSスコアが付随しているのが一般的です。
修正情報
パッチやソフトウェアアップデートなど、脆弱性を修正するための情報やソフトウェアベンダーからの公式な声明や、推奨される対応策を確認します。
参照情報
脆弱性に関連する追加情報へのリンク、例えばセキュリティアドバイザリ、関連するCVEレコード、研究者の分析などを確認します。
これらのポイントを確認することにより、脆弱性のリスクを適切に評価して緊急性を判断し、必要な対策を講じられます。脆弱性情報の確認は、組織のセキュリティ状態を維持するために不可欠であり、定期的に情報をチェックして迅速に対応することが重要です。
脆弱性情報が発表された場合の対策手順
脆弱性情報を収集して新たな脆弱性が発表された場合、組織においてどのような手順で対応すればよいかについて、JPCERT/CCやIPAの役割と連携を交えて紹介します。
①情報の確認と収集
脆弱性に関する情報を確認してCVE識別子、CVSSスコア、影響を受けるシステム、潜在的な影響などを理解し、ベンダーから提供されるセキュリティアドバイザリやパッチ情報を確認します。
JPCERT/CCやIPAは、新たな脆弱性に関する情報を収集し、国内の関係者に対して速やかに伝える役割を担っています。これらの情報源を利用して、セキュリティアドバイザリ、脆弱性情報、対策方法を確認することが有効です。
②影響範囲の特定
自組織内で影響を受ける可能性のあるシステムやアプリケーションを特定します。脆弱性スキャンツールを使用して、影響を受けるシステムを識別する方法も有効です。
③リスク評価
脆弱性が組織に与えるリスクを評価します。CVSSスコアや環境メトリックを考慮して、緊急性を決定します。悪用コードの存在や攻撃が行われているかどうかも評価しましょう。
④対策の計画と実行
ベンダーが提供するパッチやアップデートを適用します。パッチを利用できない場合は、ワークアラウンドや暫定的な対策を検討しましょう。変更管理プロセスに従い、システムへの変更を計画的に行うことが重要です。
脆弱性に対するパッチやアップデートがベンダーから提供された場合、JPCERT/CCやIPAはその情報を迅速に共有してくれるため参考にしましょう。
⑤コミュニケーション
関連部署に脆弱性の情報と対策プランを共有し、必要な作業を指示します。必要に応じて、組織のステークホルダーや顧客とコミュニケーションを取りましょう。
複数の組織が関わる大規模なセキュリティインシデントの場合、JPCERT/CCは関係者間のコミュニケーションの調整や情報共有の場を提供してくれます。
⑥対応の実施
パッチの適用、設定変更、その他の修正作業を実行します。緊急性が高い場合は、直ちに作業を実施しますが、影響の少ない時間帯を選んで作業を行うことも考慮しましょう。
⑦ドキュメンテーションとレポート
実施した対応とその結果を詳細に文書化し、将来参照するために記録を残しましょう。必要であれば、関連する機関に対して脆弱性対応のレポートを提出します。IPAのセキュリティセンターなどは、脆弱性に関する技術的な質問や相談に対する窓口を設けており、対応を支援してくれます。
脆弱性情報を収集し活用する上での課題
脆弱性情報を収集し活用する上で直面する課題や問題点について解説します。
課題1:情報の過多、質と一貫性
毎日公開される多数の脆弱性をすべて追跡し、評価することは大変困難です。脆弱性情報の詳細が不完全であることから、誤解を招くおそれもあります。また、情報源によって報告される内容の一貫性がなく、同じ脆弱性に関する情報が異なる形で提供される場合があります。
課題2:専門知識の不足による対応の負担
脆弱性の重要度を判断し、対応すべきものを適切に優先順位付けすることが重要です。しかし、多くの組織ではセキュリティに関する専門知識をもつ人材が不足しており、脆弱性の評価や対応に時間がかかることがあります。
結果として適切な対応が遅れる可能性があり、脆弱性管理のために外部の専門家に依頼するコストが必要となるケースも少なくありません。
課題3:コンプライアンスと規制
脆弱性情報の収集と活用には、業界ごとのコンプライアンスや法的規制、基準への遵守が求められます。規制は頻繁に更新されるため、常に最新の情報を把握し、迅速に対応するための体制を整備する必要があります。
特に、自組織内に担当者を配置して、企業間やセキュリティ対応チームと経営層で情報共有を行うことが欠かせません。また、社員に対する定期的なトレーニングを実施し、最新の規制やセキュリティ対策についての知識を共有する取り組みも不可欠でしょう。
効率的に脆弱性情報を収集・活用するためのポイント
脆弱性情報はますます増加傾向にあります。前章のような課題や問題点に対する対策を4つ紹介します。
ポイント1:信頼できる情報源の特定
脆弱性情報の正確性と信頼性を確保するため、公的機関やセキュリティ研究機関からの情報を優先します。国内ではJPCERT/CC、IPAが有名であり、最も活用されています。
ポイント2:自動化ツールの使用
脆弱性情報を効率的に収集するために、自動化ツールや脆弱性スキャナーを活用しましょう。大量のデータを迅速に処理し、重要な情報に集中できます。
ポイント3:情報のフィルタリングとカスタマイズ
組織のシステム環境や業界特有のリスクを考慮し、関連性の高い情報に絞り込みます。必要に応じて、アラートのカスタマイズやフィルタリングを設定し、無関係な情報を排除しましょう。
ポイント4:脆弱性管理プロセスの構築
脆弱性情報の収集だけではなく、評価、優先順位付け、対応、再評価を行うためのプロセスを構築します。セキュリティ対策チーム内や自組織内の他の部門との間で、収集した脆弱性情報を適切に共有し、脆弱性のリスクを評価しましょう。組織にとって最も重要なものへの対応を優先することがポイントです。
具体的な対策の紹介
上記のポイントを踏まえたソリューションサービスを紹介します。
SCT SECURE セキュリティ診断
- プラットフォーム診断、Webアプリケーション診断、スマホアプリ診断
サーバーやネットワークの脆弱性、Webアプリケーションのセキュリティリスク、スマホアプリの脆弱性を発見するサービスです。 - ペネトレーションテスト
Webサービスなどに対して、診断員が実際の攻撃手法を用いてシステムの脆弱性を検証し、リスクを洗い出します。 - PCI DSS準拠診断
PCI DSSに必要とされる診断サービスを提供します。PCI DSSとはPayment Card Industry Data Security Standardの略称で、厳格な要件や定期的な診断が求められるクレジットカード業界の情報セキュリティ基準です。 - 診断結果に基づいたレポートの提供
診断結果をもとに、具体的な脆弱性対策や改善方法をレポートにて提供します。
定期的な脆弱性診断のメリット
定期診断のメリットを3点紹介します。
メリット1:早急な脆弱性リスクの特定
セキュリティの脅威は日々進化しており、新しい脆弱性が継続的に発見されています。定期的な脆弱性診断により、最新の脅威に対応することが可能です。
メリット2:脆弱性以外のリスクも特定
脆弱性のみならず、システムやアプリケーションに存在するソフトウェアのバグ、設定ミス、アップデートの適用漏れなどを見つけることができます。
メリット3:コンプライアンスの確保
多くの業界基準や法規制では、定期的な脆弱性管理が要求されています。PCI DSSやHIPAAなどの規制を遵守するためには、定期的な診断を実施し、その要件を満たすことが必要です。
まとめ
脆弱性情報の収集により、リスクの適切な管理、コンプライアンスの確保、信頼性と企業の評判の維持、そしてサイバー攻撃の影響を最小限に抑えられます。また、収集した情報は、将来的な脅威に対する防御策の改善とセキュリティ意識の向上にも役立てられるでしょう。
脆弱性情報収集の仕組みとして、定期的な診断サービスの活用をご検討ください。特に情報セキュリティサービス基準適合サービスリストに記載されているサービスは信頼性が高く、導入検討の候補として最適なサービスです。
