本連載のこれまでの記事は以下となります。
2.1 ソフトウェア管理がなぜセキュリティ対策に役立つのか
2.1.1 前回の資産管理とソフトウェア管理との違い
前回はCISコントロールの最初である「IT資産管理」の重要性を説明しました。今回は2番目にあたる「ソフトウェア資産のインベントリと管理」についてです。
前回と何が違うのかということですが、IT資産管理の場合、メインはハードウェアになります。もしくはそれに準じるクラウド上で利用している環境などです。コレに対して、ソフトウェアを管理するという場合は、主に以下の2点を確認することになります。
- 会社で使っているソフトウェアは何か
- 会社で使っていないはずなのに、なぜか使われているソフトウェアは何か
ですが、実は前回紹介したツール(SKYSEA Client View)などはこのソフトウェア管理にも使えるため、混同されがちなのは確かです。
そこで、今回の目的をもう少しはっきりさせましょう。重要なのは「会社の中で、使ったらダメなソフトウェアが動いていないか?」ということです。また「使うべきソフトが使われてないのではないか」というパターンもあります。
これだけですと、「なんだ、前回と違って対象がソフトウェアになっているだけじゃないか……」と思うかもしれません。ですが、ハードウェアやそれに準じるものと、ソフトウェアとの間には一つ、大きな違いがあります。それは脆弱性という考え方です。
2.1.2 ソフトウェアと脆弱性の関係
脆弱性とはなんでしょうか。
「なんか、ソフトウェアのバグ? 弱点みたいな? なんかそれがあるとヤバいんでしょ?」これは私の知り合いのセキュリティともITとも関係のない方からいただいた回答です。なんとなく彼は自信なさげに言っていましたが、概ねこのとおりです。セキュリティの業界で脆弱性という場合、普通はソフトウェアのバグで、弱点で、それがあるとヤバいものを指します。ですがここでは、もう少し詳しく理解していきましょう。
たとえば攻撃者Aが、会社員Bさんのパソコンを乗っ取ろうとしていることを考えてみます。ここで、Bさんは脆弱性があるブラウザXを普段使っているとします。ここで、攻撃者Aは次のように考えます。
- 攻撃者Aが、まず攻撃用のWebサイトを作っておきます。
- 攻撃者AはBさんへ「ここにアクセスしたら1億円当たる!」というURLを書つけた詐欺メールを送ります。
- Bさんは1億円が欲しくてこのサイトをアクセスしようと思いました。少しは疑って欲しいですが、これは例なので、Bさんは騙されているということにします。
- Bさんは案内された変なサイトへ、脆弱性があるブラウザXを使ってアクセスしてしまいました。攻撃者Aは攻撃用のWebサイトに、ブラウザXを攻撃する仕組みを作ってあります。Bさんはそのため、攻撃者Aが用意したコンピュータウイルスをダウンロードしてしまいました。これで攻撃成功です。
普通であれば、Bさんは変なファイルがダウンロードされそうになったら、ブラウザXの機能で「XXXXファイルをダウンロード中」のように表示されるので気づくはずです。ですが、攻撃者AはブラウザXの脆弱性を突いた特別な攻撃をしているので、Bさんは変なファイルがダウンロードされていることに気がつけなかったのです。
ウイルスがダウンロードされてしまうと、パソコンが乗っ取られたり、他のパソコンに感染が広がったりすることもあります。もしBさんのパソコンにアンチマルウェアなどのセキュリティソフトが入っていれば、ウイルスを削除することができるかもしれません。でも、できないかもしれません。セキュリティソフトも万能ではないので、全てのウイルスを削除できるとは限らないのです。そのため、ブラウザXに脆弱性がないことが、非常に重要なのです。
2.1.3 極めて危険なサポート切れを確認する
ソフトウェアの脆弱性は頻繁に報告されています。どんなプロフェッショナルが開発したものであれ、まず脆弱性は生まれてしまうものです。そのため、誰かが脆弱性を見つけたら、ソフトウェアを作った会社がそれに対応するためにアップデートを提供して、脆弱性を消すようにすることが多くなりました。パソコンやスマホで頻繁にアプリをアップデートが配布されるのは、新機能を使えるようにするなどの目的もありますが、この脆弱性をつぶすためでもあるのです。
アップデートはコンピュータセキュリティを考える上ではとにかく重要なので、アップデートは第一、アップデートがセキュリティの第一歩、アップデートを放置してはいけないと、繰り返し繰り返し言われるものなのです。
ところが、開発のサポートが切れていると、このアップデートができなくなります。開発側がもうこのソフトをアップデートしない、と明言している場合、新たに脆弱性が見つかってもそれが修正されることはないので、それを使い続けるのは非常に危険です。
リストを作ることが重要なのは、第一に、アップデートができないソフトウェアがないかを調べられるからです。セキュリティを考えるときには、社内のパソコンやスマートフォン、それからサーバーやクラウド環境などに、このようなサポート切れの製品が残っているのか、残っているものは、後継製品や代替製品を買ったりできるのか、などの情報が非常に重要です。ソフトウェアを管理することで、このような活動を円滑にできるようになります。
