IT時事ネタキーワード「これが気になる!」(第113回) サイバー攻撃に遭わないための脆弱性対策

脅威・サイバー攻撃 IT・テクノロジー

公開日:2022.12.19

 セキュリティ対策関連でよく聞く「脆弱性」という言葉。発見から1年過ぎた今でも対策が困難で問題となっている「Log4Shell」の脆弱性をこの連載で取り上げたのは記憶に新しいだろう。

攻撃は脆弱性を突く。そもそも脆弱性とは?

 近年のサイバー攻撃は、不特定多数相手のやたらな「ばらまき」ではなく、ターゲットを決めて計画的に攻撃を仕掛ける、そしていつでも進化し続け効果的な方法を模索している、ということを再三述べているが、そうなると、おのおのの組織が抱えている「脆弱性」が大きな問題となってくる。トレンドマイクロの「サイバー犯罪者はどの脆弱性を悪用しようとしているのか?」によれば、2022年4月27日に米国CISAが公開した「2021年に日常的に悪用された脆弱性」において、最も悪用された脆弱性は、先述の「Log4Shell」だったという。

 脆弱性を放置すると、社内システムに侵入されランサムウエア攻撃を仕掛けられるなど組織にとって致命傷を負いかねない。具体的に脆弱性はどこに存在するのか、何からどう塞ぐのかをよく理解して、計画的に対策を行いたい。この点、総務省「国民のためのサイバーセキュリティサイト」の「脆弱性とは」によれば、「ゼロデイ攻撃」も増えているという。情報が公開されたタイミングからできる限り早く対策することが大切だろう。

脆弱性はどこに存在するのか?(技術・プロセス・人・物)

 トレンドマイクロによれば、脆弱性は「技術・プロセス・人・物」の4種類のカテゴリーで存在するという。まず1つ目には、「技術の脆弱性」があり、ここまで述べてきたようなOSやソフトウエアの技術的な欠陥だ。広く見れば、IoT機器、モバイル端末、コンピューターやネットワーク機能を組み込んだ電化製品なども含まれる。

 次に2つ目の「プロセスの脆弱性」は、管理プロセスの不備など、組織的な欠陥を指す。顧客情報が格納されているフォルダに全社員がアクセスできる、ファイルを「PPAP」でやりとりしているなど、大きなトラブルを引き起こす可能性のあるプロセスが容認され放置されている場合だ。

 3つ目の「人の脆弱性」は、心理や感情の弱さや不注意など、人間の心理における欠陥だ。注意力不足、ルールを守らない、セキュリティ意識に欠けるなど、いくらでも挙げられる。最近の攻撃者は脆弱性を抱える人物をターゲットにする、不安や焦る心理を悪用する、などの可能性もあるので注意が必要だ。

 そして、4つ目の「物の脆弱性」とは、建物の施設やハードウエアの物理的な欠陥を指す。建物内への入退室管理が不適切、ファームの更新も行われない古い機器を使っている、物の管理がずさん、などこれも挙げればきりがない。

 対策に際しては技術的な脆弱性のみならず、カテゴリー全体、組織全体の在り方をよく見通して、対策を行うのがよいだろう。

リストアップや情報収集など優先付けして具体的な対策を

 脆弱性の対策としてまず考えられるのは、社内で使うすべてのハードウエア、OS、およびソフトウエアなどのIT資産をリストアップして優先付けをし、チェックや対策を行う方法だ。リストは、例えばパソコンなら型番、利用者名、利用開始日、コンピューター名、OS、利用しているソフトウエアとそのバージョンなど必要事項を記述。重要度を加味し、普段のチェックや脆弱性発見時の対策優先順位を確認しておく。

 次に、脆弱性に関する情報を収集する。使用するすべての製品について、脆弱性に関する発表の有無、脆弱性を悪用したサイバー攻撃の有無、そして対策方法を調べる。製品それぞれの提供元の情報、セキュリティ関連のニュースなどにも目を通す。最新のサイバー攻撃の事例や傾向、最新のセキュリティソフトやソリューションの動向もチェックするとよいだろう。

 脆弱性に関するは「脆弱性データベース」が頼りになる。IPAとJPCERT/CCが共同で運営する「脆弱性対策情報ポータルサイトJVN」(Japan Vulnerability Notes)やIPAの運営する「JVN iPedia(脆弱性対策情報データベース)」「重要なセキュリティ情報一覧」、JPCERT/CCの「注意喚起」、トレンドマイクロの「脅威データベース」などが挙げられる。

 情報は定期的にチェックし、脆弱性情報に当てはまるものがあれば、優先順位に従い対策を行う。対策方法が書かれている場合も多いので参考になる。ただ、これらの脆弱性情報は攻撃者側にも流れている。IPAの「情報セキュリティ10大脅威 2022」の6位に「脆弱性対策情報の公開に伴う悪用増加」が入っており、この点は注意が必要だ。

 その他、日常的にできる対策として、常に使用しているすべての製品に関して、ソフトウエアやハードウエアを最新の状態に保つ。そして、先述の4カテゴリーのうち技術以外のプロセスや人、物の脆弱性もリストアップし、常に社内システムやプロセス、ルールを見直し、ヒューマンエラーや内部不正が起きないよう対策を行う。社員一人ひとりがセキュリティ意識を高め慎重に行動するためのITリテラシーの教育や啓発にも注力したい。

緊急時の対応方法など、今後の傾向と対策

 攻撃者の侵入やマルウェア感染が発覚した、金銭の要求が来た、など緊急時には、JPCERT/CC「侵入型ランサムウェア攻撃を受けたら読むFAQ」やIPA「ここからセキュリティ! 被害に遭ったら」などを参考に、しかるべき部署や機関に連絡して対策を行うことが大切だ。IPAの「情報セキュリティ安心相談窓口」「J-CRAT/標的型サイバー攻撃特別相談窓口」、JPCERT/CCの「インシデント対応依頼」などに相談するのも手だ。もし、何らかの脆弱性を新たに発見したときには、IPAの「脆弱性関連情報の届出受付」から報告が行える。

 定期的に脆弱性診断を行うのもおすすめだ。ツールを用いた診断と、専門の診断員が実施する手動診断がある。脆弱性診断と対策には、さまざまなソリューションがあるのでベンダーに相談してみるのもよいだろう。

 脆弱性対策は、常に4つのカテゴリーを意識し、広い視野で対策を行っておこう。何かが起きてしまってからでは遅い。日々の業務に手一杯という場合には、専任担当の設置やベンダーとの二人三脚で最善策を考えていくなど、さまざまなアイデアを凝らし、日頃からの危機管理意識を高めつつ、具体的な対策を構築していくことが大切だ。

※掲載している情報は、記事執筆時点のものです

※NTT西日本グループでは恒常的なウイルス監視を行い、メール送信時は誤送信防止の仕組みを導入しています

執筆=青木 恵美

長野県松本市在住。独学で始めたDTPがきっかけでIT関連の執筆を始める。書籍は「Windows手取り足取りトラブル解決」「自分流ブログ入門」など数十冊。Web媒体はBiz Clip、日経XTECHなど。XTECHの「信州ITラプソディ」は、10年以上にわたって長期連載された人気コラム(バックナンバーあり)。紙媒体は日経PC21、日経パソコン、日本経済新聞など。現在は、日経PC21「青木恵美のIT生活羅針盤」、Biz Clip「IT時事ネタキーワード これが気になる!」「知って得する!話題のトレンドワード」を好評連載中。

【TP】

あわせて読みたい記事

「脅威・サイバー攻撃」カテゴリーから探す

連載バックナンバー

IT時事ネタキーワード「これが気になる!」

もっと見る

カテゴリー 一覧