脆弱性とは
情報セキュリティにおける脆弱性(ぜいじゃくせい)とは、システムやOS、ソフトウェアにおいて、プログラムの不具合や設計上のミスによって生じる欠陥を指します。この欠陥を放置しておくことで、欠陥・脆弱性を悪用したマルウェア感染などの被害に遭うリスクが高まります。
よく脆弱性とセキュリティホールが混同されることがありますが、厳密には違いがあります。セキュリティホールは文字通りセキュリティの穴で、この穴・バグを狙ってウイルスが侵入をたくらみます。一方で脆弱性は外部からの攻撃に対する弱点を表します。つまりセキュリティホールは脆弱性の一つという言い方が正確です。
現在のサイバーセキュリティを考える上で、脆弱性はOSやソフトウェアの欠陥だけにとどまりません。セキュリティへの意識が欠けている「人」、ずさんな管理が行われているエンドポイントなどの「モノ」など、組織のあらゆる場所における弱点・欠陥もサイバーセキュリティ上の脆弱性につながる時代です。
脆弱性を狙った攻撃手法
OSやソフトウェアにおける技術的な脆弱性については、2022年に新たに14,254件の脆弱性がJVN iPediaに登録されています。情報漏えいやデータの改ざんなどリスクの高い脆弱性は、その8割に当たります(独立行政法人情報処理推進機構 IPA調べ)。
- ゼロデイ脆弱性
通常はOSやソフトウェアに脆弱性が発見されると、ソフトウェアメーカーから修正プログラムがリリースされ、それをインストールすることでウイルス感染などのリスクを低減させます。しかしソフトウェアメーカーがプログラムの欠陥にまだ気付いていない状態、あるいは修正パッチがリリースされていない状態では、欠陥にパッチを当てることができず、この脆弱性を狙ったゼロデイ攻撃が仕掛けられることがあります。ゼロデイ攻撃は完全に防ぐことは難しいですが、仮に攻撃されても被害を最小限に食い止めるという観点で対策を打つことは可能です。
- 標的型メール攻撃
不特定多数の相手に対し送信する迷惑メールではなく、特定の企業や組織を狙って情報の詐取やサイバー攻撃を目的に送信するメールを標的型メール攻撃と呼んでいます。受信したメールの不審な添付ファイルを開いたり、不審なURLへ誘導されアクセスすることでマルウェアに感染する例などがあります。この手法が成功してしまう要因として、ついメールを開いてしまう人間の心理があります。この標的型メール攻撃については99%以上が既知の脆弱性を悪用しているとされ、OSやアプリケーションを最新に保つことで被害を抑えることは可能です。
参考ページ:標的型攻撃対策の様々なソリューション/コンテンツ紹介
脆弱性の放置によるビジネスへの影響
脆弱性を放置することで、社内ネットワークへの侵入リスクが高まり、Webページの改ざんや機密データの漏洩などにつながる恐れがあります。ランサムウェアやスパイウェアなどのマルウェア感染への注意も必要で、ランサムウェアについてはIPAが発表している「2023年の情報セキュリティ10大脅威」の第1位にあげられています。ランサムウェアに感染するとデータが暗号化され、その復旧と引き換えに金銭を要求されます。このように脆弱性への対策が遅れ、予期せぬランサムウェアなどの被害に遭うことで、ビジネスにおいて以下のような影響が懸念されます。
- ビジネスの中断による売上の減少
- 自社のノウハウや技術の流出
- 社会的な信用の失墜
- 復旧と原因調査にかかる膨大なコスト など
脆弱性管理に必要な4つのプロセス
- IT資産情報の管理
まずは組織内にどのようなIT資産があり、利用あるいは利用していないかを確実に把握するところから脆弱性管理はスタートします。OSのセキュリティ更新をしていないPCが組織内にどれだけあるのか、脆弱性が報告されたアプリケーションを更新せずに利用している社員ユーザーがいないかどうかなど。詳細なIT資産管理が必要です。
- 脆弱性情報の収集
セキュリティ関連企業のHPやベンダーのHP、脆弱性データベースなど様々な情報源から脆弱性情報を収集していきます。
<脆弱性情報の収集に役立つサイトの一例>
- リスク評価
セキュリティリスクの分析を行います。よく用いられるのがCVSSスコアですが、このスコアだけを判断基準にするのは十分とは言えません。脆弱性情報公開からの経過時間、エクスプロイトの可能性など多面的なリスクベースの優先順位付けも必要となってきます。
- パッチ適用
リスク評価の結果から、優先的にパッチ適用すべき脆弱性を判断し、パッチを適用させます。
この4つのプロセスを手動で行うのは現実的に難しく、自動化できるツールを導入するのがもっとも効果的な脆弱性管理の方法といえます。
具体的な脆弱性対策
組織が実践すべき脆弱性対策には、ソフトウェアのプログラムの欠陥などの技術的な脆弱性だけでなく、大きく以下のような視点から脆弱性対策・脆弱性管理を実施していく必要があります。
- システムやネットワーク、ソフトウェアなど技術的な欠陥における脆弱性対策
- 最新のセキュリティパッチの適用
- 脆弱性情報の収集
- 脆弱性対策ツールの導入
- ソフトウェア配布管理
- パスワード強化 など
- PCやタブレットなど各種エンドポイントの管理における脆弱性対策
- 定期的な脆弱性診断
- 確実なIT資産管理の実施
- モバイルデバイス管理
- デバイスの紛失時におけるリモートコントロール
- 組織内で使用しているアプリケーションやソフトウェアの把握 など
- セキュリティ意識の向上や組織内の管理方法など人・プロセスにおける脆弱性対策
- 脆弱性に関する情報収集
- 正しい権限管理の実施
- 脆弱性発見時の迅速な対応策の構築
- セキュリティ教育の実施と浸透 など
すぐに実践できる総合的な脆弱性対策とは
上記のような数々の脆弱性対策を実施する場合によくある困りごととして、インベントリ管理、パッチ管理・ソフトウェア配布管理、モバイルデバイス管理など複数のツールが必要となる場合があります。
とりわけ中堅・中小企業の場合には予算や人材に限りがあるという事情もあり、コストを抑えつつ確実な脆弱性管理ができる方法が求められます。
その方法の一つが統合エンドポイント管理(UEM)ツールの導入です。統合エンドポイント管理(UEM)ツールは単一のコンソールから、組織で利用するエンドポイント全般にわたって、脆弱性管理・情報セキュリティ対策・リモートコントロール・インベントリ管理などを一元管理できるツールです。
UEMツールの中でも、価格を抑えて導入できるのがEndpoint Centralです。外部からのサイバー攻撃への対策だけでなく、ソフトウェア監視やWebフィルタリングなど内部不正への対策も行うことができ、外部と内部の双方における脆弱性管理を実行できます。
