EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

サイバー攻撃の防御に欠かせない脆弱性対策を阻むものは何か?パッチ管理のあるべき姿を考える

edited by Security Online   2019/10/24 11:00

脆弱性の管理、対応に必要なプロセスのお手本を活用

 あまりに広範囲で手が届かない。それでは脆弱性対策はどうあるべきか。鈴木氏は「脆弱性の管理、対応に必要なプロセスのお手本を活用するといいです」と提案する。具体的にはNIST(アメリカ国立標準技術研究所)が推奨している「パッチおよび脆弱性管理プログラムの策定」だ。日本語版がIPAから提供されており、ぜひ一度は目を通しておくといいだろう。

 おおまかに流れを追うと、まずはシステムインベントリを作成する。ここでは管理対象となる機器を洗い出すことになる。続いて、脆弱性など脅威を監視する体制や、修正措置導入の優先順位付けなどを決めた上で修正措置データベースを作成する。また修正措置の検証も行っておく必要がある。修正措置を実施できても、まだ終わりではない。修正措置は繰り返し続くため、後の検証やトレーニングも必要となる。

 上記ドキュメントの通り進められることが望ましいものの、現実には課題がある。サーバーではなくユーザーのパソコンになると管理対象は膨大になる。インベントリで収集すべき情報はOS、ブラウザ、インストールされているソフトウェアを網羅する必要がある。忘れてはいけないのがJava。見逃しがちなので注意が必要だ。

講演資料より掲載、以下同
講演資料より掲載、以下同

 脆弱性対策のパッチは検証を経て導入し、導入後も状況を把握し続けなくてはならない。それぞれの企業規模で実現可能な運用の仕組みを考える必要がある。鈴木氏は「適切な情報把握をしつつ、情シス担当の負荷低減も必要です。継続的な運用を実現することが大事です」と強調した。

 一定以上の規模の会社になると、作業量が膨れ上がるのは想像に難くない。そのため鈴木氏は「脆弱性情報やパッチ管理を適切に行うにはツールの活用が効果的です。必要なプロセスをおさえつつ、システマチックな運用を実現することが脆弱性対策の課題解決になります」と話す。先述したガイドラインでも「たとえ小規模な組織であっても、何らかの自動化されたパッチ適用ツールに移行すべきである」とツール活用が推奨されている。


関連リンク

著者プロフィール

  • 加山 恵美(カヤマ エミ)

    EnterpriseZine/Security Online キュレーター フリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。 Webサイト:http://emiekayama.net

  • 丸毛透(マルモトオル)

    インタビュー(人物)、ポートレート、商品撮影、料理写真をWeb雑誌中心に活動。  

バックナンバー

連載:Security Online Day 2019レポート
All contents copyright © 2007-2021 Shoeisha Co., Ltd. All rights reserved. ver.1.5