悪用された脆弱性の99.9%が公開から1年以上 いかに現場が追いついていないか
「ITシステムの情報セキュリティ対策を考えるうえで、脆弱性の管理と対策は外すことができない課題です」と、システムマネジメントサービスやヘルプデスクサービスを展開するフェスの鈴木浩一氏は指摘する。鈴木氏はデータセンター運用を経験した後、新規運用立ち上げや運用支援サービスなど運用に関する経験が長い。
「脆弱性」はソフトウェアやシステム上の欠陥で、セキュリティホールとも呼ばれる。脆弱性が見つかると、攻撃者から見れば侵入の裏口が見つかったようなものだ。サイバー攻撃の第一段階は脆弱性を足がかりにしたシステムへの潜入から始まることが多い。潜入を許すと、攻撃は徐々に次の段階へと進んでしまう。
脆弱性が公表されると修正パッチが提供されるものの、その頻度も量も種類も多い。システム運用の現場はすぐにパッチを適用するほど余裕がないのが実状だ。優先度が高いパッチを処理するので精いっぱいというところだろう。
ベライゾンジャパン「2015年度データ漏えい/侵害調査報告書」によると「悪用された脆弱性の99.9%がCVE(Common Vulnerabilities and Exposures:共通脆弱性識別子)公開後1年以上経過したもの」という指摘がある。現場としては好きで放置しているわけではないものの、パッチ適用する前に攻撃されてしまう。
脆弱性対策を甘く見てはいけない。2017年に世界中を震撼させたランサムウェア「WannaCry」は既知の脆弱性を狙う攻撃だった。パッチの適用を見送っていた企業がことごとく被害を受けた。さらに同年にはアメリカの消費者信用会社Equifaxから1億4,500万人以上もの個人情報が流出する事態が発生した。ここではApache Strutsに関する既知の脆弱性が攻撃に悪用された。どちらもパッチを早めに適用していれば大きな被害を招くことはなかったのだが。
実際の運用に目を向けると、パッチ適用を徹底するのは難しい。原因の1つに環境の多様化がある。最近の調査によると、ユーザー環境のOSシェアはいまだにWindowsがトップを占めるものの、Mac OSやLinuxなどWindows以外が12%を占める。
Windows以外にも目を向ける必要がある。またブラウザはChromeとFirefoxの合計が75%となり、主流はIE以外になっている。近年ではAcrobat DCなどマイクロソフト製品以外で脆弱性が検出されることも増えてきている。
脆弱性の管理、対応に必要なプロセスのお手本を活用
あまりに広範囲で手が届かない。それでは脆弱性対策はどうあるべきか。鈴木氏は「脆弱性の管理、対応に必要なプロセスのお手本を活用するといいです」と提案する。具体的にはNIST(アメリカ国立標準技術研究所)が推奨している「パッチおよび脆弱性管理プログラムの策定」だ。日本語版がIPAから提供されており、ぜひ一度は目を通しておくといいだろう。
おおまかに流れを追うと、まずはシステムインベントリを作成する。ここでは管理対象となる機器を洗い出すことになる。続いて、脆弱性など脅威を監視する体制や、修正措置導入の優先順位付けなどを決めた上で修正措置データベースを作成する。また修正措置の検証も行っておく必要がある。修正措置を実施できても、まだ終わりではない。修正措置は繰り返し続くため、後の検証やトレーニングも必要となる。
上記ドキュメントの通り進められることが望ましいものの、現実には課題がある。サーバーではなくユーザーのパソコンになると管理対象は膨大になる。インベントリで収集すべき情報はOS、ブラウザ、インストールされているソフトウェアを網羅する必要がある。忘れてはいけないのがJava。見逃しがちなので注意が必要だ。
脆弱性対策のパッチは検証を経て導入し、導入後も状況を把握し続けなくてはならない。それぞれの企業規模で実現可能な運用の仕組みを考える必要がある。鈴木氏は「適切な情報把握をしつつ、情シス担当の負荷低減も必要です。継続的な運用を実現することが大事です」と強調した。
一定以上の規模の会社になると、作業量が膨れ上がるのは想像に難くない。そのため鈴木氏は「脆弱性情報やパッチ管理を適切に行うにはツールの活用が効果的です。必要なプロセスをおさえつつ、システマチックな運用を実現することが脆弱性対策の課題解決になります」と話す。先述したガイドラインでも「たとえ小規模な組織であっても、何らかの自動化されたパッチ適用ツールに移行すべきである」とツール活用が推奨されている。
パッチ管理に特化したツール Manage Engine「Patch Manager Plus」
脆弱性管理ツールの1つとして鈴木氏が挙げるのがManage EngineのPatch Manager Plus。IT運用管理ソフトウェアにゾーホーが提供する「Manage Engine」があり、そのなかに脆弱性パッチ管理に特化した「Patch Manager Plus」がある。先述したようにユーザーが使うインベントリには管理すべき項目が多数あり、また環境が統一されていないことが多い。そうした複雑な現場の実状を熟知した脆弱性管理ツールとなっている。
特徴には対応範囲の幅広さがある。OSはWindows、Mac、Linuxに対応し、1つのインターフェースからデスクトップ、ラップトップ、サーバー、仮想マシンへのパッチ配布が可能となっている。マルチOS対応であり、クロスプラットフォームだ。
サードパーティーのアプリケーションにも幅広く対応している。Adobe、Java、WinRAR、Slackなど、企業システムでメジャーなアプリケーションほぼ網羅していると考えていいだろう。対応範囲が広いだけではなく、これらのソフトウェアアップデートプロセスがPatch Manager Plusを通じて一元化できるのもメリットとなる。
実際の運用では、運用管理者はPatch Manager Plusから脆弱性やパッチ情報の収集や把握を行う。社内におけるパッチ適用情報を一元的に確認したり、サーバーおよびクライアントパソコンへのパッチ配布などを行うこともできる。
パッチ情報はゾーホー社のパッチ情報データベースから収集する。必要に応じてテスト環境にてパッチ適用テストをすることも可能だ。実際のパッチ適用は手動(即時)またはスケジュール予約することも可能。
ライセンスはオンプレミス版だけではなくクラウド版も選べる。どちらにもサポート付きの年間ライセンスがあり、オンプレミス版のみ初年度のサポート付きの通常ライセンスがある。
最後に鈴木氏は次のようにパッチ管理について強調した。「パッチ管理は適切にやらないと運用がたちゆかなくなります。ツールを活用し、パッチも含めてきちんと運用管理ができるよう体制を整えることが大切です。運用管理者の負担を減し、本来やるべきことに注力できるようにしましょう」
