多くのインシデントは脆弱性の対応不足から
今回登壇した山田氏が所属するサイバーセキュリティクラウドでは、クラウド型WAFの「攻撃遮断くん」や、AWS、Microsoft Azure、Google Cloud PlatformでのWAF運用サービス「WafCharm」、AWS WAFのマネージドルール、さらには脆弱性情報収集・管理ツール「SIDfm」など、多岐にわたるサービスを提供している。
山田氏は、セキュリティの欠陥として、OSやソフトウェア、ネットワーク機器、特にサードパーティ製品に見られるプログラムの不具合や設計ミス(セキュリティホール)を脆弱性の一例として挙げた。これらの脆弱性は、CVE(Common Vulnerabilities and Exposures:共通脆弱性識別子)としてデータベース化されている。さらにこれらの脆弱性には、その深刻度を示すCVSS(Common Vulnerability Scoring System)スコアが付与され、これに対して適切な対処が必要となってくる。
山田氏によれば、多くのセキュリティ被害がソフトウェアの脆弱性から生じているとし、情報セキュリティ10大脅威(2023年版、IPA報告)によると上位リスクの半分以上がこれに関連していると指摘した。個人情報漏えいを含む被害の拡大は脆弱性情報管理・対応の不備が一因であり、最近はメディアでも「ネットワーク機器」や「アプリケーションの脆弱性」に言及されることが増え、その重要性が広く認知されつつあるという。
脆弱性情報の収集と対策は継続的に
脆弱性を取り除き、サイバー脅威に対抗するには、2つのアプローチが必要だ。1つは脆弱性のないシステムを維持すること。そしてもう1つは、新たな脅威に対して継続的に対策を施すことである。
「ソースコードやハードウェア、ソフトウェアなど、多岐にわたる領域で行われる脆弱性診断は、その時点での脆弱性を検知できますが、日々新たに発生する脆弱性に対しては、診断のタイミングにより見逃す可能性があります。ゆえに、継続的な脆弱性対策が必要となります」(山田氏)
脆弱性対策は、システムやソフトウェアの潜在的弱点に取り組む活動であり、新たに発見された脆弱性は攻撃者に利用され得る。そのため、セキュリティやインフラの担当者は迅速な対応を要する。この取り組みには、自社に与える影響の評価、対策の優先順位の設定、および具体的な実施計画の立案が含まれる。脆弱性への評価と対策のプロセスは、ワークフローとして定義され、継続的に実施する必要がある。
山田氏は脆弱性対策実施の重要なポイントとして、情報収集、トリアージ、評価のフローを挙げた。修正プログラムなど、パッチの適用もこれに含まれるが、他の機能への影響や新たな問題の発生リスクなどが存在するため、検証環境を用意し、いつどのように適用するかを明確にするアプローチが必要だ。
脆弱性情報収集のフローがあったとしても、情報は膨大だ。脆弱性情報の報告は年間で約2万件とされ、1日あたり約50件の新しい情報が出てくるという。それらの情報は日本語化されていないことも多いため、何を優先するべきかの評価に多くの工数がかかってしまう。山田氏は「情報の見落としを心配するインフラ担当の声をよく聞きます」と、問題の根深さを語る。
脆弱性情報の収集、特定、評価、管理の工数を削減したい方へ!
SIDfmは世界中の脆弱性情報から、あなたの会社に必要な情報を日本語でわかりやすくお届けする脆弱性情報収集・管理ツールです。担当者の工数を大幅に削減しながらもサイバー攻撃を受ける原因の一つでもある脆弱性への対応を迅速に行い、セキュリティ強化を図ることができます。サービス詳細についてはこちらをご覧ください。
脆弱性情報収集・管理の工数を削減する「SIDfm」
そこで、このような難易度の高い脆弱性情報の収集・管理を支援するソリューションが「SIDfm(エスアイディーエフエム)」だ。SIDfmを活用することで膨大な時間を要する脆弱性情報の収集、特定、評価、対処、さらには状況の管理と可視化といった一連のフローを自動化し、作業のコストを大幅に削減ができる。複数の情報源やベンダー情報はサイバーセキュリティクラウドのセキュリティエンジニアがすべて日本語で情報を整理し提供している。利用者は情報をすべて日本語で理解できる上に、CVEの脆弱性情報に加えセキュリティに関する大きなニュースなども一元確認できる補助機能も提供している。
脆弱性情報を日本語で配信している「JVN(Japan Vulnerability Notes)」で収集している方も多いであろう。山田氏はJVNとSIDfmの違いについて「各脆弱性情報を詳細にまとめ、単一の画面内で多岐にわたる情報を確認できるため、工数を大幅に削減できる」と説明する。CVEごとにその概要や影響、対処法が一覧でき、同じ脆弱性についても更新があれば反映する。過去のバージョン情報や何度更新されたかも確認可能であり、利用者は目的の修正プログラムを容易に見つけることができる。
SIDfmはユーザーが自ら使用するソフトウェア情報を登録することで、関連する脆弱性情報が判明した際にアラートメールを受け取る機能を提供している。これにより、適切なタイミングで重要な脆弱性情報を把握することが可能だ。また、情報過多を防ぐための細かいフィルタリング設定も可能であり、脅威度や指定したCVSSスコア以上の情報のみを受け取ることができる。
脆弱性の評価についても、SIDfmは属人的な判断を防ぐよう数値を用いる。企業内で「設定した以上の数値であれば即時対応し、数値によっては相談する」などといった体制を整えることができる。さらに、脆弱性の特定・対処の面でも効果を発揮する。ユーザーは必要な情報に迅速にアクセスできるが、その内容を見て判断が難しい場合にはサイバーセキュリティクラウドのヘルプデスクを通じてセキュリティエンジニアの支援を得られる。
対処状況の記録管理の機能もあり、登録したホスト・機器情報をもとに現在の対応状況を管理画面で一覧できるほか、対処が必要なCVEに対してチケットで管理する機能もある。チケットが多くなっても、自動的に処理する手段も用意されている。これらの機能・サービスによって、作業だけに集中できる支援を目指しているのだ。
脆弱性情報の収集、特定、評価、管理の工数を削減したい方へ!
SIDfmは世界中の脆弱性情報から、あなたの会社に必要な情報を日本語でわかりやすくお届けする脆弱性情報収集・管理ツールです。担当者の工数を大幅に削減しながらもサイバー攻撃を受ける原因の一つでもある脆弱性への対応を迅速に行い、セキュリティ強化を図ることができます。サービス詳細についてはこちらをご覧ください。
工数を大幅削減した「SIDfm」の導入事例
脆弱性管理および対策の範囲・ミッションは、組織によって異なる。サイバーセキュリティクラウドでは、利用目的ごとに4タイプのプランを用意している。脆弱性情報の収集サービスとして、自社システム向けが「SIDfm Group」、顧客や子会社に対する情報提供を想定したものが「SIDfm Biz」だ。脆弱性管理サービスとしては「SIDfm RA」および「SIDfm VM」があり、ホスト情報を登録することで、ホストごとのアラートが可能となる。特に「SIDfm VM」はオンプレミス環境向けに設計されており、セキュリティポリシー上、外部サーバに情報資産を登録できないニーズに対応している。
サイバーセキュリティクラウドでは1999年に脆弱性情報の提供を開始し※、これまでに1500社以上が利用している。
※:2020年に買収したソフテック社が、1999年より事業を開始
山田氏はSIDfmの事例として株式会社クロス・プロップワークスの例を挙げる。同社では、元々脆弱性情報の収集が行われていたものの、各担当者が個別に情報を探した結果、評価を行う作業が膨大な工数となり、業務を圧迫していたという。そのため「SIDfm Biz」を利用し収集の作業工数を約10分の1に抑えた。削減された工数をもとに、優先業務への対応が可能となったことから、高評価を得ているという。
「SIDfm RA」に関しては伊藤忠テクノソリューションズ株式会社において採用されており、同社では多くのベンダーやメーカーからの多様な商品。サービスを扱うため、それにともなう脆弱性情報の通知が煩雑化していた。そのため収集工数の削減と情報の可視化を目的として「SIDfm RA」を導入した結果、工数の削減と脆弱性の可視化が実現し、脆弱性対応を明確な基準のもとで行うことができるようになった。
脆弱性情報の迅速なキャッチアップと対応は、セキュリティインシデントを未然に防ぐうえで不可欠である。特に、アプリケーションレイヤーやOS、ネットワーク機器のファームウェアといった領域においては、予測困難な脆弱性情報の取り扱いや対策の実施は極めて重要となる。情報の収集や優先順位評価などは複雑であるが、SIDfmを利用することでこれらのプロセスを効率的に可視化し、迅速な対応をサポートできる。
サイバーセキュリティクラウドでは、SIDfmについて正規版と同様の機能を試用できる無料トライアルを実施している。もちろん、個別の企業によって状況は千差万別のため、導入にあたっては多くの疑問点や課題もあるだろうが、山田氏は講演の最後にあたり次のように締めくくった。
「SIDfmに関する質問、または皆さまの組織における個別の課題があると思います。現行の業務や体制が弊社のサービスとどれほどフィットし、工数削減が期待できるのかなどについても、相談の上でお話を進めることができます。皆さまのセキュリティを担保できるよう支援させていただきますので、お気軽にお声がけください」(山田氏)
脆弱性情報の収集、特定、評価、管理の工数を削減したい方へ!
SIDfmは世界中の脆弱性情報から、あなたの会社に必要な情報を日本語でわかりやすくお届けする脆弱性情報収集・管理ツールです。担当者の工数を大幅に削減しながらもサイバー攻撃を受ける原因の一つでもある脆弱性への対応を迅速に行い、セキュリティ強化を図ることができます。サービス詳細についてはこちらをご覧ください。