セキュリティ運用における脆弱性対応の課題とその解決策

セキュリティ対策において、自社が保有する製品の脆弱性(ソフトウェアの不具合により攻撃を受ける可能性のある状態)に対して適切に対応することは非常に重要です。
——————-
脆弱性とはなにか：
広義では情報セキュリティ上の「弱点」を「脆弱性（ぜいじゃくせい）」と呼びます。
攻撃者の多くは、この脆弱性を悪用し、情報システムへの侵入やウィルス感染などを行います。
本コラムでは、ソフトウエアの「弱点」にフォーカスします
——————-
セキュリティ対策には様々な種類がありますが、防御力を高めたとしても、攻撃を完全に防御することはできず、最終的には製品の脆弱性を悪用されて攻撃が成功するケースが非常に多いです。
最近ではランサムウェアを含むマルウェア感染や、VPN装置を経由した機密情報の搾取なども、脆弱性を悪用した攻撃の一例です。
ただし、自社で導入した製品の全ての脆弱性を継続的に排除しつづけることは以下の理由で困難です。
●脆弱性を常に排除することが困難な理由の例
（理由１）そもそも自社の資産(ハードウェア、ソフトウェア、そのバージョンやパッチ適応状況)が把握できていない
（理由２）脆弱性情報を入手できていない
（理由３）脆弱性の重要度(危険度)が把握できない
このような理由で日々の対応が難しく、結果的に脆弱性が長期間放置される、または定期的に脆弱性のテストを実行し適応しているケースが多いのではないでしょうか。
上記の理由を解決するための対策例を記載します。

（１） SaaS型資産管理ツール

自社の資産を把握するために、IT資産管理ツールを利用される企業は多いでしょう。近年はSaaS型のサービスが増えており、SaaS型は、導入コストの削減やIT資産管理ツールの運用の手間を軽減するメリットがあります。

SaaS型の資産管理ツールの例： ISM CloudOne

※PCの資産状況（OS、ソフトウェアバージョン、ソフトウェアの脆弱性診断結果等）を管理画面で一元管理できます。

（２） SaaS型脆弱性管理ツール

脆弱性情報入手に関しては、JPCERTやIPA、各ISAC、各ベンダやセキュリティ情報サイトなどが提供していますが、多岐に渡る情報から自社に必要な情報を取捨選択することは難易度が高く、また非常に手間がかかります。
そこで、公開される脆弱性情報を自動で収集し、自社の保有資産との突合や脆弱性の緊急度の判断を自動で可視化するSaaS型の脆弱性管理ツールを活用することをお勧めします。

SaaS型の脆弱性管理ツールの例： Automox

以下、Automoxの特徴です。
——-
① ソフトウェア/ライブラリのインベントリ作成
OSのみならずソフトウェアやライブラリのバージョン一覧を自動作成
② インベントリと CVE 等脆弱性情報との自動突き合わせ、アラートレポート
作成されたインベントリと CVE 等脆弱性情報との突き合わせを自動で行い、アラートレポートを生成
③ パッチマネージメントの自動化
オフィス内外を問わず管理下にあるエンドポイントに対するパッチ管理をポリシーに応じて自動化
④ エンドポイントの動作ポリシー制御
ソフトウェアの動作許可拒否リスト制御や USB デバイスへのアクセス制御等をユーザやグループロールに基づいた制御が可能
——-
Automoxは最初にご紹介したISM CloudOneなどの資産管理の機能も包含していますので、脆弱性に関して統合的に対応可能です。
このような強力なツールを活用し、セキュリティ対策の基本である脆弱性のマネジメントを適切に運用していくことをお勧めします。
今回ご紹介した「ISM CloudOne」や「Automox」に関しては弊社までお問合せください。

(参考情報)
●セキュリティ担当者のための 脆弱性対応ガイド(IPA)
https://www.ipa.go.jp/files/000044737.pdf
●ISM CloudOne
https://ismcloudone.com/
●Automox
https://www.automox.com/
https://www.parongo.com/automox　(Automoxの代理店 パロンゴ社のサイト)

2021.12.07