SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Security Online Day 2024 春の陣

2024年3月13日(水)10:00~17:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Day 2023 秋の陣 レポート(AD)

脆弱性対策で現場が疲弊しないために──継続的対処を可能にする、サイバーセキュリティクラウドの解決策

 新たな脅威が絶え間なく現れる現在のサイバー環境において、多くの企業がセキュリティ対策の進展に苦慮しているのではないか。一因として業務の工数が逼迫しており、セキュリティ対策を進めるための人員を増やす余裕がないという問題が挙げられる。セキュリティカンファレンス「Security Online Day 2023」にて、サイバーセキュリティクラウドの山田雄佑氏はこの課題に対する一策として、限られた工数でありながらも確実にセキュリティを強化し、サイバー攻撃への備えをタイムリーに実施する方法を紹介した。

多くのインシデントは脆弱性の対応不足から

 今回登壇した山田氏が所属するサイバーセキュリティクラウドでは、クラウド型WAFの「攻撃遮断くん」や、AWS、Microsoft Azure、Google Cloud PlatformでのWAF運用サービス「WafCharm」、AWS WAFのマネージドルール、さらには脆弱性情報収集・管理ツール「SIDfm」など、多岐にわたるサービスを提供している。

画像クリックで拡大
画像クリックで拡大

 山田氏は、セキュリティの欠陥として、OSやソフトウェア、ネットワーク機器、特にサードパーティ製品に見られるプログラムの不具合や設計ミス(セキュリティホール)を脆弱性の一例として挙げた。これらの脆弱性は、CVE(Common Vulnerabilities and Exposures:共通脆弱性識別子)としてデータベース化されている。さらにこれらの脆弱性には、その深刻度を示すCVSS(Common Vulnerability Scoring System)スコアが付与され、これに対して適切な対処が必要となってくる。

サイバーセキュリティクラウド マーケティング部 インサイドセールスチーム 山田雄佑氏
サイバーセキュリティクラウド マーケティング部 インサイドセールスチーム 山田雄佑氏

 山田氏によれば、多くのセキュリティ被害がソフトウェアの脆弱性から生じているとし、情報セキュリティ10大脅威(2023年版、IPA報告)によると上位リスクの半分以上がこれに関連していると指摘した。個人情報漏えいを含む被害の拡大は脆弱性情報管理・対応の不備が一因であり、最近はメディアでも「ネットワーク機器」や「アプリケーションの脆弱性」に言及されることが増え、その重要性が広く認知されつつあるという。

脆弱性情報の収集と対策は継続的に

 脆弱性を取り除き、サイバー脅威に対抗するには、2つのアプローチが必要だ。1つは脆弱性のないシステムを維持すること。そしてもう1つは、新たな脅威に対して継続的に対策を施すことである。

 「ソースコードやハードウェア、ソフトウェアなど、多岐にわたる領域で行われる脆弱性診断は、その時点での脆弱性を検知できますが、日々新たに発生する脆弱性に対しては、診断のタイミングにより見逃す可能性があります。ゆえに、継続的な脆弱性対策が必要となります」(山田氏)

 脆弱性対策は、システムやソフトウェアの潜在的弱点に取り組む活動であり、新たに発見された脆弱性は攻撃者に利用され得る。そのため、セキュリティやインフラの担当者は迅速な対応を要する。この取り組みには、自社に与える影響の評価、対策の優先順位の設定、および具体的な実施計画の立案が含まれる。脆弱性への評価と対策のプロセスは、ワークフローとして定義され、継続的に実施する必要がある。

画像クリックで拡大
画像クリックで拡大

 山田氏は脆弱性対策実施の重要なポイントとして、情報収集、トリアージ、評価のフローを挙げた。修正プログラムなど、パッチの適用もこれに含まれるが、他の機能への影響や新たな問題の発生リスクなどが存在するため、検証環境を用意し、いつどのように適用するかを明確にするアプローチが必要だ。

 脆弱性情報収集のフローがあったとしても、情報は膨大だ。脆弱性情報の報告は年間で約2万件とされ、1日あたり約50件の新しい情報が出てくるという。それらの情報は日本語化されていないことも多いため、何を優先するべきかの評価に多くの工数がかかってしまう。山田氏は「情報の見落としを心配するインフラ担当の声をよく聞きます」と、問題の根深さを語る。

脆弱性情報の収集、特定、評価、管理の工数を削減したい方へ!

SIDfmは世界中の脆弱性情報から、あなたの会社に必要な情報を日本語でわかりやすくお届けする脆弱性情報収集・管理ツールです。担当者の工数を大幅に削減しながらもサイバー攻撃を受ける原因の一つでもある脆弱性への対応を迅速に行い、セキュリティ強化を図ることができます。サービス詳細についてはこちらをご覧ください。

次のページ
脆弱性情報収集・管理の工数を削減する「SIDfm」

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
関連リンク
Security Online Day 2023 秋の陣 レポート連載記事一覧

もっと読む

この記事の著者

森 英信(モリ ヒデノブ)

就職情報誌やMac雑誌の編集業務、モバイルコンテンツ制作会社勤務を経て、2005年に編集プロダクション業務やWebシステム開発事業を展開する会社・アンジーを創業。編集プロダクション業務においては、IT・HR関連の事例取材に加え、英語での海外スタートアップ取材などを手がける。独自開発のAI文字起こし・...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

提供:株式会社サイバーセキュリティクラウド

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/18543 2023/10/30 10:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2024年3月13日(水)10:00~17:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング