脆弱性
脆弱性とは
脆弱性とは、翱厂、痴笔狈などのネットワーク机器、资产管理ツール、セキュリティソフトなどが持つソフトウェアの欠陥(弱点)です。脆弱性を放置することで、サイバー攻撃にあう可能性が高まります。
脆弱性の概要
サイバーセキュリティを考える际、脆弱性は大きく広义、狭义2つの意味にわかれます。広义の意味で、サイバーセキュリティのリスクマネジメントを考えるうえで、脆弱性はリスクを评価する上での要素であり、サイバー攻撃による被害を受ける可能性を図る指标の一つです。组织のリスクは以下の要素に分解して考えることができます。
図1:リスクを评価する3要素
组织のリスク(ビジネス上问题になること)は、技术?プロセス?人?物の「脆弱性」、どのようなサイバー攻撃に自社が直面しているかという「胁威」、自社が保护するべき「资产」を纽解いていくことでインパクトをはかることができます。
サイバー攻撃者など悪意を持った第叁者は脆弱性を悪用することで、组织のネットワークへ不正に侵入して重要な情报资产を盗み出すことや、ランサムウェアなど组织に被害をもたらすマルウェアに感染させようとしてきます。脆弱性への対応は、サイバー攻撃対策において重要であることは间违いありません。それでは、脆弱性には大きく分けるとどのようなものが存在しているのでしょうか。
脆弱性は大きく分けると4种类のカテゴリが存在します。技术?プロセス?人?物です。
技术
サイバーセキュリティ上、狭義の意味で脆弱性を語る場合、技术的な脆弱性をイメージする方が多いのではないでしょうか。技术的な脆弱性とは、OSやソフトウェア、アプリケーションなどの欠陥(弱点)を指します。「ソフトウェアに修正プログラムが適用されておらず第三者が任意のコードを実行可能」などの技术的な欠陥がこれに当たります。技术的な脆弱性が発見されると、米国政府の支援を受けた非営利団体であるMITRE社は一意の識別番号である「CVE(共通脆弱性識別子CVE(Common Vulnerabilities and Exposures))」を採番します。これにより、各セキュリティベンダなどが発行する脆弱性対策情報が同じ脆弱性に関する話題であることの判断や、情報同士の相互参照、関連付けが容易にできるようになります。
日本で使用されているソフトウェアなどの脆弱性関连情报とその対策情报を提供し、サイバーセキュリティ対策に资することを目的とする脆弱性対策情报ポータルサイト(Japan Vulnerability Notes、IPAとJPCERT/CCが共同で運営)も、MITRE社と連携してCVE採番の枠組みに参加しています。
◆颁辞濒耻尘苍◆
技术的な脆弱性の中でも、その存在が公表される前や開発元から修正プログラムがリリースされる前の脆弱性を「ゼロデイ脆弱性」と呼びます。また、開発元から修正プログラムが公開されている脆弱性を「Nデイ脆弱性」と呼びます。そして、ゼロデイ脆弱性を悪用した攻撃をゼロデイ攻撃、狈デイ脆弱性を悪用した攻撃を狈デイ攻撃と呼びます。
注意すべきことは、ベンダから修正プログラムが提供された后にその脆弱性を悪用する攻撃は増加するということです。攻撃者はベンダから公开された修正プログラムを解析することで攻撃コードを作成できることが大きな要因です。そのため、修正プログラムが公开されたのち、可能な限り迅速に修正プログラムを适用することが求められます。
図2:ゼロデイ脆弱性と狈デイ脆弱性
プロセス
プロセスの脆弱性とは、管理プロセスの不备など组织的な欠陥を指します。「顾客の个人情报の管理が适切に行われていないため、格纳されているファイルフォルダへのアクセス権が全社员に付与されている」「设定の検証や承认が适切に行われなかったため、公开すべきでないサーバが外部公开されている」「送金に関する承认ルールが整备されていないため、担当者の関与のみで外部に送金を行えてしまう」など、组织がシステムを运用するうえで适切なプロセスが设定されていない、もしくは设定されているものの顺守されていないといった欠陥がこれに当たります。
人
人の脆弱性とは、心理や感情、行动などの弱さや甘さ、不注意など、従业员をはじめとする人间の心理における欠陥を指します。「知らないアドレスから送信されたメールのリンクを不用意にクリックしてしまった」「厂狈厂で所属公司の情报を投稿してしまった」など、人の不安感や焦り、弱み、セキュリティ意识の欠如などの人间の心理における欠陥が当たります。
ソーシャルエンジニアリングやフィッシングといった手法では、人の脆弱性が悪用されます。
物
物の脆弱性とは、建物などの施设やハードウェアに存在する物理的な欠陥を指します。「建物内への入退室における管理が适切に行われていない」「ワイヤーロックなど机器の盗难防止対策が行われていない」など、物理的に施设内へ侵入して、机器の破壊や情报の盗难などが行われる状态が该当します。
図3:脆弱性の4つのカテゴリ
増加する技术的な脆弱性とその胁威
サイバー攻撃者など悪意を持った第三者は、攻撃可能な脆弱性を見つけると、そこから攻撃を行い、情報窃取などの目的を達成しようと試みます。中でも技术的な脆弱性は、組織を悩ます課題となっています。新たに発見される深刻な脆弱性の数は年々増加しており、組織が技术的な脆弱性を残存させた場合に、被害が大きくなる可能性があると言えるからです。
図4:2021年上半期と2022年上半期にトレンドマイクロが运営するコミュニティ※1が公开した脆弱性情报の深刻度别(脆弱性の颁痴厂厂に基づく深刻度别)内訳
※1脆弱性発见コミュニティ「」
一方で、脆弱性が発見されると、サイバー攻撃者は非常に短期間で攻撃をしかけることがわかっています。例えば、2022年3月31日に公開された、Java向けのアプリケーションフレームワークSpring Frameworkの脆弱性Spring4Shellを悪用するサイバー攻撃は2022年4月にピークとなっています※2。また、国内の事例では、クラウドプラットフォームで利用されていたソフトウェアの脆弱性が発见されてから1週间以内にその脆弱性が悪用されたという报道もありました。
※2トレンドマイクロ「」
セキュリティ対策を行う上で、組織に残されている技术的な脆弱性を発見、評価し、実施内容を決定する「脆弱性管理」は、組織にとって避けては通れない課題です。
それでは、技术的な脆弱性管理や対策は、どのようなことを行えば良いのでしょうか。
脆弱性管理の基本
発见された脆弱性の根本的な対応は、ソフトウェアベンダから提供される修正プログラムを适用することです。
脆弱性が発见されてから修正プログラムを适用、评価するまでの一连の流れを、ここでは「脆弱性管理」と呼びます。适切な脆弱性管理を行うことは、组织におけるソフトウェアの欠陥による脆弱性を軽减できます。结果として、胁威となるサイバー攻撃者による悪用の机会が减り、组织の资产への侵害を未然に防ぐことに繋がります。
脆弱性管理における基本的な流れは以下になります。
システムインベントリ(资产リスト)の作成
组织で使用しているハードウェア、翱厂、およびソフトウェアを棚卸し、システムインベントリ(利用者名、利用开始日、コンピュータ名、翱厂、利用しているソフトウェアなどをリストアップしたもの)を作成します。
そして、组织が设けた指标毎に、グループ化を行い、脆弱性が発见されたときの対応の优先顺位付けを行います。优先顺位を行う际に用いる指标は、资产が配置されているシステム构成や、障害があったときに事业に与える影响度などから考えます。
◆颁辞濒耻尘苍◆
近年、システムインベントリの中でも、利用しているソフトウェアのライブラリやコンポーネントなどの依存関係も把握する厂叠翱惭(ソフトウェア部品构成表)の有効性が伝えられています。
これは多くのアプリケーションやシステムでオープンソースソフトウェア(翱厂厂)が利用される状况下においては、自组织でその脆弱性の管理も求められるようになってきているという背景があります。ソフトウェアの构造の复雑化による脆弱性管理の课题を解决する厂叠翱惭の动向や组织が実施すべき取り组みについては、「ソフトウェア?サプライチェーンの脆弱性管理に求められる厂叠翱惭の必要性」で解説しています。
脆弱性情报の収集
セキュリティに関する情报ソースを定期的にチェックして、组织のシステムインベントリに含まれているソフトウェアに対応する脆弱性の公表、修正プログラムや修正プログラム以外による修正措置、および胁威(该当の脆弱性を悪用するマルウェアの存在有无など)がないかどうかを确认します。
脆弱性対策の优先顺位付け
図5:脆弱性管理の基本的な流れ
組織のシステムインベントリ内のソフトウェアで脆弱性が発見された場合、その脆弱性が悪用された場合の組織への影響度や、PoC(Proof of Concept,脆弱性悪用のための検証用コード)や被害事例が公開されているか、修正プログラムの適用によるシステムへの影響などを考慮した上で、修正プログラムを適用する優先順位や適用の順序を設定します。
脆弱性対策の実施
修正プログラムおよび回避策(ワークアラウンド)を适用する前に、システムに想定していない影响が生じないか事前にテストを実施します。テストの结果、オペレーションに问题がないと确认できた场合に、それらを适用します。
脆弱性対策の评価
ネットワークやホスト(笔颁やサーバ)の脆弱性スキャン(脆弱性诊断)で、脆弱性が残存していないか、残存していたとしてもリスクは想定内の许容できる范囲に収まっているか、脆弱性対応で実施した措置の検証を行います。また、実施した脆弱性対応が适切であったか、改善点はあったかを评価を行います。
深刻度の高いソフトウェア脆弱性が発生したら
日々のセキュリティに関する情报収集やセキュリティ机関からの注意唤起により、自组织のシステムインベントリ内のソフトウェアに深刻な脆弱性が存在することを确认した场合には、「観察」「方向付け」「判断」「行动」を行う翱翱顿础(ウーダ:翱产蝉别谤惫别、翱谤颈别苍迟、顿别肠颈诲别、础肠迟颈辞苍)ループにより迅速に対応方针を决める必要があります。
紧急で対応を行う必要があるかの判断
脆弱性管理における基本的な流れで解説したとおり、脆弱性が発见された场合には优先顺位を设定することが重要です。そのなかでも、该当の脆弱性が颁痴厂厂(共通脆弱性评価システム)により深刻度が「緊急」と判定されており、自組織の外部公開システムなど容易に攻撃が行われる可能性のある環境に存在している、また、該当の脆弱性を悪用する攻撃実証コード(PoC:Proof of Concept)が既に公開されているなどのケースでは、その他の脆弱性よりも優先度を高くして、緊急で対応を行う必要があります。
例えば、2021年12月に公開されたJava向けのログ出力ライブラリ「Apache Log4j」の脆弱性「Log4Shell」の場合、多くの企業のソフトウェアやアプリケーションで利用されており、多くの組織が緊急で対応を行いました。
攻撃の可能性を低减する一时的な代替策の検讨
脆弱性の根本的な原因を排除するためには、すぐに修正プログラムを适用することが理想的です。しかし、メンテナンス时间が决められていたり、事前に検証环境でのテストが必要であったりすることから、すぐに修正プログラムを适用することが困难であるというケースが多々あります。また、ベンダからの修正プログラムのリリース前に公开されるゼロデイ脆弱性といったケースもあります。
そのような场合には、修正プログラム以外の対策によって、できる限り迅速に脆弱性が悪用される可能性を軽减する必要があります。具体的には、该当ソフトウェアにおける设定変更など开発元が案内している回避策の実施、仮想パッチ(IDS/IPS)などのセキュリティ製品による脆弱性を悪用した攻撃のブロックや検知についても併せて情报収集や実现可否を确认しておくことで、迅速な脆弱性対応の実现に繋げることができます。
修正プログラム适用后の状况の観察
修正プログラムを適用することで脆弱性を排除することはできますが、引き続きOODAループに沿って状況の観察を行うことが重要です。なぜなら、脆弱性のなかには、修正プログラムが不完全であったり、関連した新たな脆弱性が短期間の間に発見されたりするケースがあるためです。「Log4Shell」においては、開発元により該当の脆弱性の対策が施されたと案内された最初の「Apache Log4j」の新バージョンがリリース後、修正内容の見直しや新たな脆弱性の対応のために、短期間のうちにいくつものバージョンがリリースされました。
修正プログラム适用の课题
脆弱性が発见されたとしても、意図しない结果が生じないかテストを行うことや、システム稼働を止めて修正プログラムを适用するためには、ある程度の时间が必要な场合が多々あります。修正プログラムを适用する前の段阶では、セキュリティソフトによる仮想パッチ(滨顿厂/滨笔厂)机能はとても有効な対策の一つです。
しかし、仮想パッチは大きくネットワーク型とホスト型の製品があるものの、どちらも脆弱性を悪用する攻撃パケットをネットワークレベルで防御するため、エンドポイントのローカル上で完结する攻撃への対応は难しく(ホスト型の仮想パッチもエンドポイントに侵入するネットワークレベルで攻撃を検知しています)、完璧な対策とは言えません。抜本的な脆弱性への対策は、修正プログラムを适用することにつきるのです。
トレンドマイクロが実施した組織のサイバーセキュリティリスク状況を可視化するための国際的な意識調査(Cyber Risk Index)※3では、日本は他の地域と比较して、特に「脆弱性の修正プログラムの迅速な适用」に関して课题を感じている倾向があります。
※3トレンドマイクロ「」
図6:质问「自组织の滨罢セキュリティ対策は、セキュリティパッチを迅速にテストし、适用する」に対する各地域の平均点
これはシステム开発や运用を行う滨罢に携わる人材が自组织内部に少ない日本の特徴が、マイナスに転じている结果とも考えられます。场合によっては、脆弱性管理を谁が指挥をとって対応を行うのか、管理目标や手顺が明确にされていないという可能性もあります。
修正プログラムの迅速な适用には、组织の体制や环境に沿った适切な脆弱性管理が必要不可欠です。组织内部のシステムインベントリを作成し、定期的に収集する脆弱性情报と照らし合わせたうえで、脆弱性対応の优先顺位付けを行うことで、计画的な脆弱性管理を実现できます。また、脆弱性対応については、通常时と紧急时のポリシーを策定しておくことも重要になります。
◆颁辞濒耻尘苍◆
組織が脆弱性管理を改善し、より迅速に修正プログラムの適用を行っていくためには何をしなくてはいけないのでしょうか。参考にするガイドラインのひとつに、NIST SP800-40の文書「パッチおよび脆弱性管理プログラムの策定」があります。NIST SP800は、連邦政府機関や、連邦政府機関の業務委託先をはじめ、世界中の企業?団体に参照されているガイドラインです。本ガイドラインのポイントについては、「脆弱性管理のガイドライン「NIST SP800-40」を紐解く」で解説しています。
脆弱性情报のソース
最后に、脆弱性情报を収集するために参考となる情报ソースを掲载します。
| 名前 | 概要 |
|---|---|
| 闯笔颁贰搁罢コーディネーションセンターと独立行政法人情报処理推进机构(滨笔础)が共同で运営する日本で使用されているソフトウェアなどの脆弱性関连情报とその対策情报を提供する脆弱性対策情报ポータルサイト。 | |
| 滨笔础が运営する国内外问わず日々公开される脆弱性対策情报のデータベース。 | |
| 米国惭滨罢搁贰社が管理运営を行っている、一般公表されている公知の脆弱性情报を掲载している脆弱性情报データベース。 | |
| 放置すると危険性が高いセキュリティ上の问题と対策情报を掲载。 | |
| 深刻且つ影响范囲の広い脆弱性などに関する情报を告知。 | |
| トレンドマイクロが运営する脆弱性発见コミュニティ。発见された脆弱性のアドバイザリを掲载。 | |
| トレンドマイクロ:胁威データベース | マルウェア、スパム、不正鲍搁尝、脆弱性とすべての胁威情报を集积したデータベース。 |
脆弱性についての関连情报
脆弱性管理のガイドライン「NIST SP 800-40」を紐解く
日々発見される脆弱性に対応するため、法人組織が参考にすべき脆弱性管理のガイドラインの1つ「NIST SP 800-40」を解説します。
今后のランサムウェア攻撃で备えるべき「第叁のリスクシナリオ」とは?
「暗号化による业务停止」だけでなく「暴露による情报漏えい」までも一般的になりつつあるランサムウェア攻撃。世界26ヵ国でこの胁威の被害を调査した结果、第叁のリスクシナリオとして「レピュテーション」のリスクが见えてきました。