SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Security Online Day 2022

2022年9月16日(金)10:00~17:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Day 2019レポート(PR)

サイバー攻撃の防御に欠かせない脆弱性対策を阻むものは何か?パッチ管理のあるべき姿を考える

 サイバー攻撃は脆弱性の隙を狙われる。修正版となるパッチが公開されたら、すぐにでも適応したいところだが、運用管理者は日々の業務に追われパッチ対応にあまり手間をかけられないのが実状だ。脆弱性対策の壁を打破するには?

悪用された脆弱性の99.9%が公開から1年以上 いかに現場が追いついていないか

 「ITシステムの情報セキュリティ対策を考えるうえで、脆弱性の管理と対策は外すことができない課題です」と、システムマネジメントサービスやヘルプデスクサービスを展開するフェスの鈴木浩一氏は指摘する。鈴木氏はデータセンター運用を経験した後、新規運用立ち上げや運用支援サービスなど運用に関する経験が長い。

株式会社フェス 上席サービスマネジメント・アーキテクト 鈴木 浩一氏
株式会社フェス 上席サービスマネジメント・アーキテクト 鈴木 浩一氏

 「脆弱性」はソフトウェアやシステム上の欠陥で、セキュリティホールとも呼ばれる。脆弱性が見つかると、攻撃者から見れば侵入の裏口が見つかったようなものだ。サイバー攻撃の第一段階は脆弱性を足がかりにしたシステムへの潜入から始まることが多い。潜入を許すと、攻撃は徐々に次の段階へと進んでしまう。

 脆弱性が公表されると修正パッチが提供されるものの、その頻度も量も種類も多い。システム運用の現場はすぐにパッチを適用するほど余裕がないのが実状だ。優先度が高いパッチを処理するので精いっぱいというところだろう。

 ベライゾンジャパン「2015年度データ漏えい/侵害調査報告書」によると「悪用された脆弱性の99.9%がCVE(Common Vulnerabilities and Exposures:共通脆弱性識別子)公開後1年以上経過したもの」という指摘がある。現場としては好きで放置しているわけではないものの、パッチ適用する前に攻撃されてしまう。

 脆弱性対策を甘く見てはいけない。2017年に世界中を震撼させたランサムウェア「WannaCry」は既知の脆弱性を狙う攻撃だった。パッチの適用を見送っていた企業がことごとく被害を受けた。さらに同年にはアメリカの消費者信用会社Equifaxから1億4,500万人以上もの個人情報が流出する事態が発生した。ここではApache Strutsに関する既知の脆弱性が攻撃に悪用された。どちらもパッチを早めに適用していれば大きな被害を招くことはなかったのだが。

 実際の運用に目を向けると、パッチ適用を徹底するのは難しい。原因の1つに環境の多様化がある。最近の調査によると、ユーザー環境のOSシェアはいまだにWindowsがトップを占めるものの、Mac OSやLinuxなどWindows以外が12%を占める。

 Windows以外にも目を向ける必要がある。またブラウザはChromeとFirefoxの合計が75%となり、主流はIE以外になっている。近年ではAcrobat DCなどマイクロソフト製品以外で脆弱性が検出されることも増えてきている。

次のページ
脆弱性の管理、対応に必要なプロセスのお手本を活用

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
関連リンク
Security Online Day 2019レポート連載記事一覧

もっと読む

この記事の著者

加山 恵美(カヤマ エミ)

EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト:http://emiekayama.net

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/12474 2019/10/24 11:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年9月16日(金)10:00~17:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング