ミニ連載:いまさら聞けない「脆弱性」の話 (3) ― 脆弱性対応のいろは
脆弱性の言葉の意味からIoT機器における脆弱性対策の重要性までを解説するミニ連載「いまさら聞けない脆弱性の話」。最終回となる本稿は、今すぐできる脆弱性対応からセキュリティ製品の導入まで、幅広く説明します。
脆弱性の言葉の意味からIoT機器における脆弱性対応の重要性までを解説するミニ連載「いまさら聞けない脆弱性の話」。第2回は、そもそも脆弱性情報は誰が発見してどこで公開されているか?また、「CVE」や「CVSS」「ゼロデイ攻撃」といった脆弱性をより理解するためのキーワードを通して、脆弱性を塞ぐ重要性に触れました。
最終回となる本稿は、今すぐできる脆弱性対応からセキュリティ製品の導入まで、幅広く説明します。
脆弱性対応の基本:修正プログラムを適用する
脆弱性対応の基本はやはり、メーカーから提供されるソフトウェアの修正プログラム(パッチ)を適用することです。パッチが適用されるまでの期間はサイバー攻撃者に対して無防備な状態にあります。組織のシステム管理者は適用するパッチの選別、検証、配信の仕組みを整え、無防備な期間を短くすることに努めましょう。一方で、業務用サーバや工場で稼働する産業用制御機器など、すぐにパッチが適用できない場合があります。よく挙げられるのは以下のような事情です。
●検証に時間がかかり作業スケジュールを確保するのが困難
●機器ごとに脆弱性を確認し必要な更新プログラムを準備するのに時間と手間がかかる
●サポート期限が過ぎた古いOSを継続利用しており、メーカーから修正パッチが配布されない
パッチが適用できない場合であっても取り得る対応があります。対応せずそのまま放置することは避けるべきです。例えば、第1回で紹介したコンピュータウイルス「WannaCry」の場合は、TCPの445番ポートを利用するため、ファイアウォール等でこのポートを閉じれば一時的に(※)被害を防ぐことができます。このような脆弱性の詳しい情報は、第2回で紹介した脆弱性の識別子「CVE」を検索することで得られます。最新の脆弱性情報を収集し、リスクを避ける方法を検討することは重要です。
なお、脆弱性の深刻度は経年変化します。以前は存在しなかった攻撃コードが現在では存在している、対応情報が公開された、などの変化によるものです。最新の脆弱性情報の収集は、上述したパッチ未適用期間の対応検討に役立つだけでなく、大きな変化があった場合にもたらされるリスクを再評価することにもつながります。
※TCP445番ポートを利用する他のネットワークサービスも利用できなくなってしまうため、パッチを適用するまでの一時的な処置として記載しています。
事前の対策:不必要なサービスを無効化する
脆弱性とはプログラムに内在する情報セキュリティ上の欠陥であると説明しました。欠陥を完全に無くすことは困難であることから、使用するサービスやアプリケーションを適切に管理することも必要です。具体的には、不要なサービスは無効化し悪用される可能性がある侵入口を塞いでおきましょう。外部からのアクセスを行う必要がなければSSHを無効化、HTTPのみ提供するサーバであればメールは無効化、といった具合です。また、アプリケーションのインストールはユーザーそれぞれが行うのではなく、情報システム担当者の責任のもと一元的に行うことで、不要なサービスの稼働や脆弱性が残留するリスクを低減できます。
さらに、日ごろからセキュリティ対策や保守・運用サービスについて相談できる専門ベンダとコンタクトを取っておくことも重要です。サイバー攻撃は日進月歩で進化しており自前では簡単に予防できない攻撃もあります。いざ問題が発生してから業者を選定していたのでは間に合いません。
Windows以外のOSも対策が必要
Windows以外のOSであれば脆弱性を気にする必要はないでしょうか?答えはNoです。アメリカ国立標準技術研究所(NIST)の報告*1によると、1999年以降、総計で最も多くの脆弱性が発見されているOSはLinux(Debian)でした。次いで多いのがAndroid。Windows系で一番多いのはWindows Server 2008で9番目となっており、意外にも他のOSよりも少ないことがわかっています。
Linux系のOSは工場等で稼働する産業用制御機器やIoT機器にも使われており広く普及しています。「工場はサイバー攻撃に遭いにくい」「Linux向けのウイルスは少ない」といった先入観のもとセキュリティ対策を疎かにしていると、思わぬ被害にあう恐れがあります。OSや機器の用途に依らず、ネットワークに接続する機器は脆弱性対策をはじめとするサイバー攻撃への備えが必要です。
「ゼロデイ攻撃」はどう防ぐ?
パッチの適用を基本とするのであれば、パッチ公開よりも前に行われるサイバー攻撃「ゼロデイ攻撃」はどのように防げば良いでしょうか。そこには「多層防御」の考え方が必要です。多層防御とは、従来サイバーセキュリティ対策で重視されてきた「入口対策」だけでなく、内部ネットワークの監視や分離、機密情報の隔離などの「内部対策」、そして情報流出や不正な通信先との通信を抑制する「出口対策」を組み合わせた施策を指します。幾重にも連なる防御壁を用意することで、サイバー攻撃者の目的の達成確率を下げる効果が期待できます。また、仮に未知のウイルスの侵入を許したとしても、事前に許可したアプリケーション以外は実行できないよう制限する「セーフリスト機能」があれば、ウイルスは活動できないので安心です。
トレンドマイクロは外部インターネットとの接点に設置するセキュリティ製品をはじめ、内部ネットワーク層、デバイス層を守る製品も用意しています。特に脆弱性に関しては、システムの穴を一時的に塞ぐ「仮想パッチ」を配信する機能があるため、前述したパッチを適用できない機器がある場合に有効です。
自組織のセキュリティ対策レベルを客観的に知りたい方は、IPA(独立行政法人情報処理推進機構)の提供する情報セキュリティ診断*2が役に立つでしょう。今後の対策に役立つ資料を確認できる他、同業他社との比較も行えます。
終わりに
全3回のミニ連載を通して、脆弱性の言葉の意味から被害事例、今すぐできる対策まで幅広く紹介してきました。コロナ禍の中、リモートワークに取り組む企業はセキュリティ対策も同時に見直されていることと思います。業務に使用するWindowsコンピュータをはじめ、工場等で稼働中の産業用制御機器、試作で用意したシングルボードコンピュータ(ラズベリーパイ等)、オフィスに設置しているIoT機器など、社内ネットワークにつながるあらゆる機器の点検が必要です。この機会に、まずは機器の棚卸し(可視化)を行ってみてはいかがでしょうか?
執筆者:トレンドマイクロ株式会社 IoT事業推進本部 堀之内 光
*1)National Vulnerability Database
https://thebestvpn.com/vulnerability-alerts/
*2)情報セキュリティ診断サイト
https://security-shien.ipa.go.jp/diagnosis/
トレンドマイクロ製品のお問い合わせはこちら