脆弱性の管理、対応に必要なプロセスのお手本を活用
あまりに広範囲で手が届かない。それでは脆弱性対策はどうあるべきか。鈴木氏は「脆弱性の管理、対応に必要なプロセスのお手本を活用するといいです」と提案する。具体的にはNIST(アメリカ国立標準技術研究所)が推奨している「パッチおよび脆弱性管理プログラムの策定」だ。日本語版がIPAから提供されており、ぜひ一度は目を通しておくといいだろう。
おおまかに流れを追うと、まずはシステムインベントリを作成する。ここでは管理対象となる機器を洗い出すことになる。続いて、脆弱性など脅威を監視する体制や、修正措置導入の優先順位付けなどを決めた上で修正措置データベースを作成する。また修正措置の検証も行っておく必要がある。修正措置を実施できても、まだ終わりではない。修正措置は繰り返し続くため、後の検証やトレーニングも必要となる。
上記ドキュメントの通り進められることが望ましいものの、現実には課題がある。サーバーではなくユーザーのパソコンになると管理対象は膨大になる。インベントリで収集すべき情報はOS、ブラウザ、インストールされているソフトウェアを網羅する必要がある。忘れてはいけないのがJava。見逃しがちなので注意が必要だ。
脆弱性対策のパッチは検証を経て導入し、導入後も状況を把握し続けなくてはならない。それぞれの企業規模で実現可能な運用の仕組みを考える必要がある。鈴木氏は「適切な情報把握をしつつ、情シス担当の負荷低減も必要です。継続的な運用を実現することが大事です」と強調した。
一定以上の規模の会社になると、作業量が膨れ上がるのは想像に難くない。そのため鈴木氏は「脆弱性情報やパッチ管理を適切に行うにはツールの活用が効果的です。必要なプロセスをおさえつつ、システマチックな運用を実現することが脆弱性対策の課題解決になります」と話す。先述したガイドラインでも「たとえ小規模な組織であっても、何らかの自動化されたパッチ適用ツールに移行すべきである」とツール活用が推奨されている。
