銀行員からエンジニアへ転職し、現在は社内SEをしながらライター業に従事しています。
日々世間を騒がしているサイバー攻撃。サイバー攻撃は多くの企業にとって脅威となるため、セキュリティ対策を日々実践していく必要があります。セキュリティ対策の一つが今回のテーマとなる「脆弱性対応」です。しかし、脆弱性対応をどのように運用していくべきか悩む企業も多く見られます。今回は、実際に企業の脆弱性対応をしている筆者が実体験を元に脆弱性対応の考えを解説します。
セキュリティに無関心な職場で脆弱性対応を始めた話
脆弱性対応とは、OSやアプリケーションが抱えるセキュリティ上の欠陥となる脆弱性を解消するための活動です。攻撃者は、脆弱性を悪用してサイバー攻撃を仕掛けてくるため、悪用されると情報漏洩や不正アクセスなどの被害につながります。
わたしは社内SEとして今の企業に入社し、しばらくしてから社内のセキュリティ業務を任されることになりました。しかし、任された当時のセキュリティへの対応は必要最低限のことしか実施していない状態でした。
社内ネットワークから外部ネットワークへの境界となる部分にファイアウォールなどは設置していたものの、デバイスの利用制限はしておらず、自宅から持ってきたPCを社内ネットワークに繋げられる状況だったのです。そのため、いつサイバー攻撃の被害が起きてもおかしくない状態でした。
しかし、製造業ということもあり、現場の効率性を重視してセキュリティ的な制限を加えられない事情があったため、現状の対策にせざるをえないとも理解しました。そこで、まずは企業にとって大きな脅威となる「ランサムウェア」を防ぐ観点で、セキュリティ対策に取り組むことにしたのです。
ランサムウェアは、企業の社内ネットワークに侵入して、重要なファイルを暗号化した後に、復号を条件に身代金を要求する警告文を表示させるマルウェアです。個人や企業のデータを破壊するだけでなく、組織に大きな損害を与えるため、深刻なサイバー攻撃の一つとなっています。
ランサムウェアの被害に遭わないためには、インターネットに接続する社内のPCやサーバを守る必要があります。攻撃者は、脆弱性をついてランサムウェアへの感染を狙うため、脆弱性を無くすことがランサムウェアのリスク軽減につながると判断しました。
まず社内の資産管理から始める
脆弱性対応をするにあたり、そもそも社内にどれくらいのPCやサーバがあるのかを正しく管理する必要がありました。管理台帳はあったものの、手動で管理していたため、現状と乖離している部分も数多くあったためです。
他にも、そのPCやサーバのOSがどのバージョンなのか、どのようなアプリケーションがインストールされているのかも把握しなければなりません。
こうした管理を効率化するために資産管理ツールを導入し、社内のパソコンやサーバの所有者情報、OSやアプリケーションなどを把握しました。その後、現時点の管理対象のOSやアプリケーションに脆弱性があるかどうかを確認しましたが、そこで数多くの脆弱性が見つかったため、早急に対応を進めていく必要がありました。
しかし、脆弱性が数多く存在していたため、どこから手をつけていいべきかの判断が難しく、なかなか対応を進められなかったのです。そこで、脆弱性の深刻度に応じて優先順位をつけ、最も深刻な脆弱性から対応していくことにしました。
脆弱性対応の優先順位決定に役立ったCVSS
優先順位をつけるときに活用したのが「CVSS(Common Vulnerability Scoring System)」と呼ばれるスコアです。
CVSSスコアは脆弱性の深刻度を評価するための共通基準です。CVSSスコアは、以下の3つの観点で評価されます。
- 基本評価基準: 脆弱性の重要度を示す基本的な情報を評価するもので、脆弱性の攻撃可能性、攻撃の複雑さ、認証の必要性、および影響の範囲を評価する。
- 現状評価基準: 脆弱性を利用する攻撃の現状の状況を評価するもので、攻撃者が攻撃に使用できる技術的リソースや攻撃のターゲットなどを考慮する。
- 環境評価基準: 脆弱性が存在するシステムの環境に関する情報を評価するもので、影響を受けるリソースの重要度や影響の範囲、攻撃の可能性に関する情報を考慮する。
CVSSスコアは、0から10の範囲で表され、スコアが高いほど脆弱性の深刻度が高くなります。ただし、CVSSスコアだけで脆弱性の深刻度を判断することはできず、その脆弱性が影響するシステムやネットワークの状態に応じて、適切な対策が必要になります。
まず、外部に公開しているサービスで、CVSSのスコアが高いものから優先的に対応しました。最初は大変でしたが、取り組みを始めてから数か月後には脆弱性の数が減り、システムの安定性が向上しました。脆弱性対応は、一度取り組み始めると終わりがない作業ですが、継続的に取り組んでいくことで、セキュリティを確保することができます。
脆弱性対応が難しい理由
脆弱性対応をする中で、最も難しいと感じたことがシステムのアップデート作業です。アップデートをしばらくできないと、既知の脆弱性に対して対策が取られず、セキュリティ上のリスクが高まります。しかし、アップデートには人的リソースが必要であり、他の業務を犠牲にしなければならないケースも出てくるため、セキュリティ担当者としては難しい判断を迫られることがありました。
また、アップデートによって、他のシステムやアプリケーションにも影響が及ぶこともあるため、動作に影響しないことを確認しなければなりません。そのため、アップデートには計画的な調整が必要であり、単にアップデートをおこなうだけではなく、システム全体を見渡した上で対応する必要があります。
以上のような理由から、セキュリティ対策やアップデート作業は容易ではなく、常に課題が山積みであることを痛感しました。リソース不足から全ての情報資産のアップデートをすることが難しかったため、より重要度の高いサーバ(外部に公開している)を中心に対応をしました。
また、今まで1台しか無かったサーバをもう1台構築し、本番環境とテスト環境の2台構成にしたのです。そうすることで、まずはテスト環境でアップデートを実施し、問題なければ本番環境にも適用するといった流れを構築できました。重要度の高くないサーバは、年に2回の定期的なバージョンアップ日を設け、その日に実施しています。こうすることで、ユーザーへの影響を最小限に抑えながら日々の運用が実現できました。
全社一丸、継続して対策を
セキュリティはビジネスを支える重要な要素であり、業務継続や顧客情報の保護の面からも対応が欠かせません。しかし、セキュリティはそれ自体が利益を生まないため、企業の取り組みの中でも優先事項が下がりがちです。
こうした状況を改善するために、経営者はセキュリティに対する投資を重視し、優先事項の一つに位置づけることが大切です。セキュリティ対策は、企業にとって長期的な価値を生み出すための投資であり、セキュリティの最新技術や最新製品を導入することによって、企業の信頼性と安定性を高められます。
セキュリティ担当者としては、企業の安全を守るための責任を持ち、最新の脅威に対する対策を考えて実行することが求められます。しかしながら、これらは単独で行われるべきではありません。経営者がセキュリティに対する理解を深め、ともに組織内のセキュリティ文化を構築することが重要です。トップダウンでセキュリティ意識の向上を働きかける活動を社内で継続的に行い、社内のセキュリティに対する認識も強化していかなければなりません。
最後に、セキュリティは一度実施しただけでは完了しません。常に変化する脅威に対応するために、定期的な監査や改善を行い、セキュリティ対策を見直すことが重要です。経営者のサポートを得て、セキュリティに対する継続的な投資と改善をおこなうことが、企業と顧客の信頼を築くための重要な要素となるでしょう。
(文:長谷川貴之)
