企業セキュリティの歩き方

OSSと脆弱性の“現実”--認識を変えた2014年の事件

武田一城 (ラック) 2017年11月20日 06時00分

  • このエントリーをはてなブックマークに追加

 本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。

最も利用されているシステムとなったOSS

 今回からセキュリティ分野のニュースなどで取り沙汰されることの多いオープンソースソフトウェア(OSS)の脆弱性について述べたい。ここ数年、Apache StrutsやBINDなどの脆弱性が原因となるさまざまなサイバー攻撃の被害がニュースなどで散見される。「OSSのような脆弱なソフトウェアはセキュリティの観点から利用しない方がよい」という意見を持っている人も少なからずいる。OSSが本当に脆弱なシステムなのかという観点で考察する。

 私たちの利用するシステムには、全てではないにしろ、多くのOSSが利用されている。その中でも、ApacheやTomcatのようなウェブのフロントにあるソフトウェアは、その存在自体がウェブという仕組みの第一世代ということもあって、登場時点でデファクトスタンダードになっていたものも多い。

 OSSとは、「Open Source Initiative」よって定義されたオープンソースの概念に基づいてソースコードが無償で公開され、改良や再配布を自由に行えるソフトウェアだ。ライセンス形態はGNUやGPLなど複数あるが、根本的な考え方は「ソフトウェアという資産は全世界の誰でもが自由に利用できることが世の中のためである」という理想に基づく。

 しかしながら、そのような理想や高尚な考え方は、一般の人にそれほど意識されていない。あくまで、単に「無料で使えるソフトウェアだから利用している」というのが、個人ユーザーはもちろん、企業での利用であっても大きく変わらない感覚だろう。OSSで済むならわざわざ高いライセンス料を支払わなければならない商用ソフトウェアを使おうとは思わない。もちろん、無料のソフトウェアは商用のソフトウェアのように製造責任を持ってくれるメーカーが存在しない。そのため、ある程度は利用者が運用責任を持つ必要がある。

 そのようなOSSにまつわる心配は、一定の規模の利用者を持つようになれば、取り越し苦労に終わるだろう。なぜなら、ウェブには利用者の賞賛や不具合報告などのさまざまな情報が溢れている。ごく特殊な利用方法などの場合を除いて、ウェブを検索するだけで大概の問題は解消できるだろう。特にバグなどについては、ソースコードが公開されていることから、世界中の目によって常にブラッシュアップされ続け、商用ソフトウェアなどより、はるかに早く品質が向上していくことも多いのだ。もちろん、利用者の少ないOSSについては、上記のようにはなりにくいが、“世の中一般に普及した”という接頭語がつくOSSであれば、世界中の誰もが利用できる非常に優れた機能と品質を持つソフトウェアといってもいいだろう。

脆弱性情報の公開とその後の対応

 しかし、このOSSにも脆弱性が多く発見され、その脆弱性の悪用によるサイバー攻撃の被害などがニュースなどに登場する機会が多くなった。

 脆弱性が発見されたサーバは直ちに対策をする必要がある。なぜなら、攻撃者がその脆弱性を利用し、不正に侵入するための「エクスプロイト」と呼ばれるスクリプトやプログラムを作成するからだ。そして、エクスプロイトをインターネット上のサーバへ手当たり次第に送信すれば、その脆弱性があるサーバであれば容易く侵入できてしまえる。

 特に、その対象がウェブサーバなどのように外部公開するものであれば、より緊急度が高まる。こうなると、攻撃者による不正侵入とシステム運用管理者による脆弱性の修正パッチ適用は1分1秒を争う競争だ(※)。脆弱性情報の公開からほんの数時間で侵入された例もあり、情報公開によってシステム運用管理者が徹夜の作業に追われ、タイミングによってはゴールデンウィークなどの長期休暇が台無しになり、彼らの悲鳴がサーバルームに響き渡るような状況にもなってしまうのだ。

※脆弱性情報が公開される前に発生した攻撃は「ゼロディ攻撃」と呼ばれ、対応には別次元とも言える非常に高度な運用力と技術力が必要とされる。高度な攻撃はその絶対数も少ないため、本稿では割愛し、脆弱性公開後の対応の部分のみに焦点をあてて言及した。


脆弱性公開後の攻撃者とシステム運用管理者''
脆弱性公開後の攻撃者とシステム運用管理者

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]