本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。
セキュリティ管理者は、自社のシステムの脆弱性情報に、常に気を配っていなくてはならない。なぜなら、そのシステムがどんなに安全だったとしても、脆弱性が絶対にないことを保証しているわけではないからだ。脆弱性情報が公開されれば、システムにどれだけ堅固なセキュリティ対策を施していても、攻撃者はそのシステムにやすやすと侵入できてしまう。脆弱性とは、システムの「アキレス腱」と言えるだろう。脆弱性対策は、統合型セキュリティソフトの運用に加え、発見された脆弱性の“穴”をふさぐための適切なアップデートが必須となる。
しかしながら、脆弱性情報の公開は、ユーザーにおけるシステムの運用状況やリリース計画などを考慮してくれるようなことがない。そして、脆弱性情報が公開されるや否や、サイバー攻撃者が脆弱性を放置している企業や組織などに攻撃を仕掛けてくる。攻撃者がこのような絶好のチャンスを逃がすはずはないからだ。今回は、このやっかいで避けることができないシステムの脆弱性と、それを取り巻く現状や対策について述べていく。
「すぐ修正パッチ適用」が意外と難しい理由
脆弱性情報の公開と修正パッチの提供は、ほとんどの場合セットになる。なぜなら、対策がない状態で脆弱性情報を公開したら、該当するシステムが攻撃されるままになってしまう恐れがあるからだ。そのため、脆弱性情報の公開時に修正パッチがあることが大前提である。
自社のシステムの脆弱性情報が公開された場合、セキュリティ管理者(またはシステム管理者)は、その修正パッチを適用すれば、ある意味で自分の責任を果たすことになる。しかし現実問題として、脆弱性の問題を迅速に把握し、即時アップデートを施すことは、管理者にとってなかなか骨の折れる作業だ。
そもそも、利用しているシステムの全てを詳細に把握するのは簡単ではない。さらに、脆弱性問題の影響がPCやその他のデバイスに及ぶとなると、その対応のための作業もまた膨大にならざるを得ない。数が膨大になればなるほど、把握するのは難しくなる。
そして、管理を厳密にしたいなら、これに加えて、「最新の脆弱性情報において重要度『緊急』レベルのアップデートを必要とする端末の所在」や「従業員が個別にインストールしたアプリケーションの把握と適切なアップデート状況の把握」ということを全て遅滞なく実施しなくてはならない。このようなことを限られた人員で行うのは至難の業だ。
さらに、修正パッチの適用後も問題なくシステムが動作するかどうか検証しなければならない。特に、ミスや停止が許されないミッションクリティカルなシステムの場合、実際にパッチを適用して修正するまでの作業項目を洗い出すだけでも、それなりに時間がかかる。
このようにセキュリティ管理者は、繁忙期や閑散期に関係なく、突発的な脆弱性情報の公開に、限られたリソースで対応し続けている。そのため、脆弱性情報が公開されたら、すぐ修正パッチを適用できる場合は、それほど多くはない。
また、脆弱性情報の公開後には、昼夜を問わない対応を強いられることも少なくない。攻撃者側は、脆弱性の内容を把握して、脆弱性を悪用する際に用いる「エクスプロイトキット」をすぐに作成する。作成の後、そのまま攻撃に移行することもあれば、「ダークウェブ」と呼ばれる一般の人には閲覧できない闇市場でこのツールを販売することもある。そうなってしまうと、脆弱性を抱えたシステムに対する攻撃のリスクが高まる。エクスプロイトキットさえあれば、技術力があまりない人間でもサイバー攻撃を実行できるからだ。
一方、セキュリティ管理者は、脆弱性の存在を把握してから自社のシステムにおける修正パッチ適応の必要性、可否などを調査し、さらに準備しておいた開発環境で事前に検証をする。そのプロセスが全て済んだタイミングで、やっと本番のシステムに修正パッチを適用する。攻撃者とは、攻撃を受けるまでに作業を完了できるかの競争だ。それは、スピードの勝負となり、まさにお祭り騒ぎの様相となる。そして、このような状況を「まつり」と称することが、現在ではそれなりに一般化してしまった。
お祭り騒ぎに例えられる脆弱性対応の状況
