SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Security Online Day 2024 春の陣

2024年3月13日(水)10:00~17:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

ITインフラ管理の最前線:CISコントロールとその実践的応用

ソフトウェア資産のインベントリと管理:許可したソフトウェアだけを使えるようにする

『CISコントロール』を援用した企業に必要なITセキュリティの管理と維持の方法 #02

 企業のITセキュリティの出発点は何か、どこから始めれば良いのか──それは「IT資産管理」だ。本記事では、IT部門管理職に向けて、国際的ガイドラインであるCISコントロールに基づいた資産管理の重要性と具体的な対策方法について詳しく紹介する連載。第2回の今回は「ソフトウェア資産のインベントリと管理」を解説する。

本連載のこれまでの記事は以下となります。

2.1 ソフトウェア管理がなぜセキュリティ対策に役立つのか

2.1.1 前回の資産管理とソフトウェア管理との違い

 前回はCISコントロールの最初である「IT資産管理」の重要性を説明しました。今回は2番目にあたる「ソフトウェア資産のインベントリと管理」についてです。

 前回と何が違うのかということですが、IT資産管理の場合、メインはハードウェアになります。もしくはそれに準じるクラウド上で利用している環境などです。コレに対して、ソフトウェアを管理するという場合は、主に以下の2点を確認することになります。

  • 会社で使っているソフトウェアは何か
  • 会社で使っていないはずなのに、なぜか使われているソフトウェアは何か

 ですが、実は前回紹介したツール(SKYSEA Client View)などはこのソフトウェア管理にも使えるため、混同されがちなのは確かです。

 そこで、今回の目的をもう少しはっきりさせましょう。重要なのは「会社の中で、使ったらダメなソフトウェアが動いていないか?」ということです。また「使うべきソフトが使われてないのではないか」というパターンもあります。

  これだけですと、「なんだ、前回と違って対象がソフトウェアになっているだけじゃないか……」と思うかもしれません。ですが、ハードウェアやそれに準じるものと、ソフトウェアとの間には一つ、大きな違いがあります。それは脆弱性という考え方です。

2.1.2 ソフトウェアと脆弱性の関係

 脆弱性とはなんでしょうか。

 「なんか、ソフトウェアのバグ? 弱点みたいな? なんかそれがあるとヤバいんでしょ?」これは私の知り合いのセキュリティともITとも関係のない方からいただいた回答です。なんとなく彼は自信なさげに言っていましたが、概ねこのとおりです。セキュリティの業界で脆弱性という場合、普通はソフトウェアのバグで、弱点で、それがあるとヤバいものを指します。ですがここでは、もう少し詳しく理解していきましょう。

 たとえば攻撃者Aが、会社員Bさんのパソコンを乗っ取ろうとしていることを考えてみます。ここで、Bさんは脆弱性があるブラウザXを普段使っているとします。ここで、攻撃者Aは次のように考えます。

  1. 攻撃者Aが、まず攻撃用のWebサイトを作っておきます。
  2. 攻撃者AはBさんへ「ここにアクセスしたら1億円当たる!」というURLを書つけた詐欺メールを送ります。
  3. Bさんは1億円が欲しくてこのサイトをアクセスしようと思いました。少しは疑って欲しいですが、これは例なので、Bさんは騙されているということにします。
  4. Bさんは案内された変なサイトへ、脆弱性があるブラウザXを使ってアクセスしてしまいました。攻撃者Aは攻撃用のWebサイトに、ブラウザXを攻撃する仕組みを作ってあります。Bさんはそのため、攻撃者Aが用意したコンピュータウイルスをダウンロードしてしまいました。これで攻撃成功です。
図1. 脆弱性を突いた典型的な攻撃の例
図1. 脆弱性を突いた典型的な攻撃の例 [画像クリックで拡大]

 普通であれば、Bさんは変なファイルがダウンロードされそうになったら、ブラウザXの機能で「XXXXファイルをダウンロード中」のように表示されるので気づくはずです。ですが、攻撃者AはブラウザXの脆弱性を突いた特別な攻撃をしているので、Bさんは変なファイルがダウンロードされていることに気がつけなかったのです。

 ウイルスがダウンロードされてしまうと、パソコンが乗っ取られたり、他のパソコンに感染が広がったりすることもあります。もしBさんのパソコンにアンチマルウェアなどのセキュリティソフトが入っていれば、ウイルスを削除することができるかもしれません。でも、できないかもしれません。セキュリティソフトも万能ではないので、全てのウイルスを削除できるとは限らないのです。そのため、ブラウザXに脆弱性がないことが、非常に重要なのです。

2.1.3 極めて危険なサポート切れを確認する

 ソフトウェアの脆弱性は頻繁に報告されています。どんなプロフェッショナルが開発したものであれ、まず脆弱性は生まれてしまうものです。そのため、誰かが脆弱性を見つけたら、ソフトウェアを作った会社がそれに対応するためにアップデートを提供して、脆弱性を消すようにすることが多くなりました。パソコンやスマホで頻繁にアプリをアップデートが配布されるのは、新機能を使えるようにするなどの目的もありますが、この脆弱性をつぶすためでもあるのです。

 アップデートはコンピュータセキュリティを考える上ではとにかく重要なので、アップデートは第一、アップデートがセキュリティの第一歩、アップデートを放置してはいけないと、繰り返し繰り返し言われるものなのです。

 ところが、開発のサポートが切れていると、このアップデートができなくなります。開発側がもうこのソフトをアップデートしない、と明言している場合、新たに脆弱性が見つかってもそれが修正されることはないので、それを使い続けるのは非常に危険です。

 リストを作ることが重要なのは、第一に、アップデートができないソフトウェアがないかを調べられるからです。セキュリティを考えるときには、社内のパソコンやスマートフォン、それからサーバーやクラウド環境などに、このようなサポート切れの製品が残っているのか、残っているものは、後継製品や代替製品を買ったりできるのか、などの情報が非常に重要です。ソフトウェアを管理することで、このような活動を円滑にできるようになります。

次のページ
2.2 使ってはいけないソフトウェアについての理解を深めよう

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
ITインフラ管理の最前線:CISコントロールとその実践的応用連載記事一覧

もっと読む

この記事の著者

目黒 潮 (メグロ ウシオ)

ウィズセキュア株式会社 サイバーセキュリティ技術本部 シニアセールスエンジニア
情報処理安全確保支援士
エンドポイントやフィッシング詐欺が専門

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/18628 2023/11/07 09:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2024年3月13日(水)10:00~17:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング