脆弱性の管理、対応に必要なプロセスのお手本を活用
あまりに広範囲で手が届かない。それでは脆弱性対策はどうあるべきか。鈴木氏は「脆弱性の管理、対応に必要なプロセスのお手本を活用するといいです」と提案する。具体的にはNIST(アメリカ国立標準技術研究所)が推奨している「パッチおよび脆弱性管理プログラムの策定」だ。日本語版がIPAから提供されており、ぜひ一度は目を通しておくといいだろう。
おおまかに流れを追うと、まずはシステムインベントリを作成する。ここでは管理対象となる機器を洗い出すことになる。続いて、脆弱性など脅威を監視する体制や、修正措置導入の優先順位付けなどを決めた上で修正措置データベースを作成する。また修正措置の検証も行っておく必要がある。修正措置を実施できても、まだ終わりではない。修正措置は繰り返し続くため、後の検証やトレーニングも必要となる。
上記ドキュメントの通り進められることが望ましいものの、現実には課題がある。サーバーではなくユーザーのパソコンになると管理対象は膨大になる。インベントリで収集すべき情報はOS、ブラウザ、インストールされているソフトウェアを網羅する必要がある。忘れてはいけないのがJava。見逃しがちなので注意が必要だ。
脆弱性対策のパッチは検証を経て導入し、導入後も状況を把握し続けなくてはならない。それぞれの企業規模で実現可能な運用の仕組みを考える必要がある。鈴木氏は「適切な情報把握をしつつ、情シス担当の負荷低減も必要です。継続的な運用を実現することが大事です」と強調した。
一定以上の規模の会社になると、作業量が膨れ上がるのは想像に難くない。そのため鈴木氏は「脆弱性情報やパッチ管理を適切に行うにはツールの活用が効果的です。必要なプロセスをおさえつつ、システマチックな運用を実現することが脆弱性対策の課題解決になります」と話す。先述したガイドラインでも「たとえ小規模な組織であっても、何らかの自動化されたパッチ適用ツールに移行すべきである」とツール活用が推奨されている。
この記事は参考になりましたか?
- Security Online Day 2019レポート連載記事一覧
-
- サイバー攻撃の防御に欠かせない脆弱性対策を阻むものは何か?パッチ管理のあるべき姿を考える
- Society 5.0のサイバーセキュリティ政策 経済産業省 奥家敏和氏が解説
- 将来発生し得るリスクをあらかじめ予測して先回りする「AIアンチウイルス」
- この記事の著者
-
加山 恵美(カヤマ エミ)
EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト:https://emiekayama.net
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社
この記事は参考になりましたか?
この記事をシェア
