脆弱性管理とは?セキュリティ担当者が抑えておきたい対応ポイントと課題

脆弱性管理は、企業の機密事項を守るために重要な業務です。セキュリティ担当者は、システムの脆弱性に問題がないかを日常的にチェックし、問題があれば適宜対応しなければなりません。今回は脆弱性管理の方法や、覚えておくべき課題とその対策について解説します。

脆弱性管理とは

脆弱性とは、セキュリティホールとも呼ばれ、コンピューターのOSやソフトウェアの設計ミスによるセキュリティ欠陥、プログラムの不具合を指す言葉です。脆弱性を放置したままだと、社内PCのウイルスに感染や、不正なアクセスが行われるだけではなく、自社サービスを提供するサイトの改ざんや社内の重要な機密情報などが漏洩するリスクがあります。

脆弱性管理では、システムやサーバーの欠陥を常に監視して、発見した場合はすぐにプログラムを更新し脆弱性を無くさなければなりません。欠陥が見つかるたびにプログラムを更新するというこのサイクルは、システムの開発や運用を行う中で脆弱性が見つかるたびに繰り返されます。

パッチマネジメントとは

パッチマネジメントとは、システムに脆弱性が発見された際に、セキュリティパッチと呼ばれるプログラムを適切に作動させて問題を解消する管理方法です。

セキュリティパッチには、自動でソフトウェアをアップデートしてくれるものや手動でセキュリティパッチを適用するものなどさまざまな種類があります。パッチマネジメントはこれらセキュリティパッチを必要なタイミングで漏れなく作動させるために必要な管理活動です。

パッチマネジメントを導入することで、脆弱性を解消させるために必要な「検知」、「判断」、「対応」の一連の作業フローを素早く実行できるようになります。それにより、コンピューターの感染や不正アクセスのリスクを軽減できます。作業フローについて詳しく解説します。

脆弱性をスキャンして検知

まずは、企業が利用しているコンピューターのシステム構成を把握し、構成の特性や要素などから、関係のある脆弱性を素早く検知します。

脆弱性を検知するためには、Webサイトで公開されている脆弱性情報の中から自社システムと関連性の高い情報を収集し、影響があるかどうかを判断します。脆弱性情報は、業界団体やベンダ、有識者などが発信しているものを参考にする方法が一般的です。

脆弱性情報を収集するための主な情報源は、業界団体の場合はIPA(情報処理推進機構)、JVN iPedia、JPCERT/CC、NVDなどが挙げられます。また、ベンダの場合は各ベンダのWebサイトから発信される情報やプレスリリース、メールマガジンなどがあります。また、Twitter、Facebook、ブログなどからも情報を得られます。

すべての情報を常にチェックし続けるのは手間がかかるため、自社のコンピューターやシステムに関する部分のみを収集するようにしてパッチマネジメントを行うと良いでしょう。

脆弱性を分析して判断

脆弱性を発見したら、次に攻撃を受ける可能性がどのくらいあるのか等のリスクを分析し、対応の必要性やの緊急度を見極めます。脆弱性を判断するときは、一般的にCVSS(Common Vulnerability Scoring System)を基準にします。

CVSSは共通脆弱性評価システムという意味で、システムの種類や開発者などに関わらず、共通の指標で脆弱性を判断するものです。CVSSにはBase Metrics(基本評価基準)Temporal Metrics(現状評価基準)Environmental Metrics(環境評価基準)の3つの基準があります。

CVSSは1.0〜10.0の数値で判断します。7.0以上は緊急度が高いとされますが、緊急度が高く、なおかつ該当する脆弱性への攻撃プログラムがすでに世間で出回っていて、他社で既に被害が出ている場合などは、迅速な対応が求められます。

社内でCVSSの数値ごとにどのような対応をするかも予め決めておくと良いでしょう。

悪用される前に脆弱性を修正

脆弱性を発見した後は、サイバー攻撃や情報漏えいなどのトラブルが発生する前にプログラムを更新してリスクを最小限に抑えなければなりません。しかし、システムを複数使用している場合やグローバル企業などでは、社内全体のシステムにどのくらいの脆弱性があるかを把握するのに時間がかかり、適切な対応ができているのかがすぐに把握できないケースもあります。

このようなケースでは、それぞれ個別のシステム単位で脆弱性管理行うのではなく、共通で脆弱性管理ができるサービスを導入すると良いでしょう。脆弱性管理のクラウドサービスには、検知から判断、対応までを一括で行えるものもあります。作業の申請や承認を連動させたり、対応結果を追跡したり、脆弱性対策を横展開できる機能などがあり、社内で脆弱性が検知されたときも迅速に適切な対応が行えます。

脆弱性管理の課題

脆弱性管理における課題とその対策を紹介します。サイバー攻撃は、脆弱性を発見すると即座に攻撃してくる傾向があります。そのため脆弱性管理は、定常的に行うべきものであり、脆弱性が検知されたらすぐにプログラム更新の準備を始める必要があります。

多くの企業が、すでにグローバルスタンダードであると認知した上で脆弱性管理に取り組み、うまくいかずに挫折してしまうケースもあります。脆弱性管理をうまく運用するためにも、課題を把握し解決方法を考えてみましょう。

脆弱性検査の精度が低い

脆弱性管理の大きな課題のひとつとして、脆弱性を見つける検査精度の低さがあります。脆弱性を検知するツールを使って脆弱性が見つかったとしても、「詳しく調べるとそれほど深刻な問題ではなかった」というケースが頻繁に起こると、ツールに対する信頼性が失われてしまいます。

さらに、検査の精度が低いことでセキュリティ担当者とIT部門の信頼関係も低下してしまう要因となります。信頼関係が崩れると、最終的に社内での脆弱性管理自体が正常に機能しなくなる可能性があるため、精度の高いツールを導入できるかどうかは非常に重要なポイントです。

また、精度の高いツールを導入するだけではなく、発見した脆弱性のリスクを正しく判断することも必要です。正しい判断を行うために、導入直後の一定期間などは自社内の判断だけではなく、脆弱性管理専門の企業に相談することも検討するようにしましょう。外部の専門家にリスク評価をしてもらうことで、客観的な判断ができます。また、脆弱性の対応基準やハイリスクの脆弱性への対応はどうするべきかなどのノウハウも身につけることができますし、関係部署との調整などセキュリティ担当者が本来やるべき業務に集中できるといったメリットもあります。

脆弱性の対応判断基準が曖昧

脆弱性が発見された場合、状況を正しく把握し適切な判断のもと対策を実施する必要があります。

判断基準のポイントは、1つではなく複数の指標を組み合わせることです。たとえば、脆弱性自体のリスク、それぞれのデバイスの資産価値などの基準を数値化しておけば、リスクが高い脆弱性が複数あってもインターネット上に公開していないシステムや、普段社内で使うシステム、社内の重要な情報が保管されているサーバーなどに分類すれば優先順位を判断しやすくなります。

脆弱性の判断基準をあらかじめ決めておくと、脆弱性が発見されたときに、必要なシステムに然るべき対応が迅速に行えます。

関係部門とどう調整していくか

日常的なセキュリティ強化はもちろん脆弱性が発見された場合の対応は、セキュリティ部門や担当者だけの問題ではなく、関係部門と連携した対応が求められる場合がほとんどです。しかし、社内の部署によってはセキュリティ管理に対する知識に差がある可能性も高く、迅速かつ適切に問題を解消するためにどのように関係部門と連携するかも課題の一つです。

脆弱性が検知されたら、システムの安全性を優先して対策を取る必要があります。IT部門の担当者と相談しながら、セキュリティ担当者以外の従業員も理解できる現実的な対策を提案していかなければなりません。

実際に脆弱性が発見された際、全社的に適切な対応を取るためには、日常的にセキュリティ管理に対する意識づけや啓蒙活動を行うための手間や予算を惜しまないことが大切です。また、セキュリティ部門の判断・指示に従ってもらえるよう、関係部署と良好な関係を保つよう意識してコミュニケーションをとるようにしましょう。

(まとめ)脆弱性診断の実施には適した手法と効率化が重要

脆弱性管理は、企業にとって重要なリスク管理です。日々新たなウイルスやサイバー攻撃が生まれ続けている現代では、セキュリティ担当者が手作業で行うのではなく、適したツールなどを使い効率的に管理する必要があります。

自社に合った適切なパッチマネジメントなどの導入を検討し、定常的に脆弱性管理を行えるよう取り組んでいきましょう。また脆弱性が検知された場合の判断基準を明確に決めておくことも大切です。で、リスクの高い脆弱性が発見されたときに迅速な対応ができるよう、あらかじめ数値化しておくと良いでしょう。