システムを安全に運用するためには、脆弱性への対策が欠かせません。脆弱性を放置すると、不正アクセスやウイルス感染などの重大なセキュリティ事故のリスクを高めることになります。脆弱性を迅速に検知して対応するために重要となるのが、脆弱性情報の収集・管理です。本記事では、脆弱性対策の重要性や脆弱性情報のソース、収集ツール、脆弱性情報収集の運用負荷を軽減するためのアプローチについて解説します。
目次
脆弱性情報とは
脆弱性とは、システムを構成するハードウェア・ソフトウェアにおけるセキュリティ上の欠陥のことです。脆弱性は多くの場合、設計・開発段階でのミスや不具合によって生じます。脆弱性はセキュリティホールとも呼ばれ、攻撃者に悪用されやすいため迅速に対応する必要があります。
この脆弱性に関する情報を「脆弱性情報」と言い、各ベンダーやセキュリティ情報サイトで公開されています。日々新たな脆弱性が発生しているため、常に最新情報を収集し、自社のシステムに影響するものであれば更新プログラムを適用するなどの対応を行うことが重要です。
脆弱性情報のソース・収集方法
次に、代表的な脆弱性情報のソース(発信元)や収集するためのツールについて紹介します。
脆弱性情報のソース
脆弱性情報のソースとしては主に次のようなものが挙げられます。
- CVE(Common Vulnerabilities and Exposures)
CVE(https://cve.mitre.org/)とは、脆弱性を特定、定義、カタログ化するための仕組みのことです。脆弱性が発見されると、脆弱性を一意に定めるためのCVE IDという識別番号が付与されます。CVE IDはCNAと呼ばれるCVEの採番機関によって割り当てられ、米MITRE社が運営しているCVEの管理サイトに登録されます。
このCVEのサイトでは、CVE IDによる脆弱性の検索や、脆弱性のリストのダウンロードなどが可能です。(MITRE社は、米国連邦政府や各州・自治体などの公共機関に対して研究開発等の支援を行う米国の非営利組織です。)
- NVD(National Vulnerability Database)
NVD(https://nvd.nist.gov/)は、NIST(アメリカ国立標準技術研究所)が提供する脆弱性情報データベースです。CVEの情報を集約し、詳細な脆弱性情報や重大度を評価する尺度であるCVSS(Common Vulnerability Scoring System)スコアなどを提供します。
- JVN(Japan Vulnerability Notes)
JVN(https://jvn.jp/)は、日本で流通・利用されるソフトウェアの脆弱性に関連する情報とその対策情報を提供するポータルサイトです。IPA(情報処理推進機構)とJPCERTコーディネーションセンターが共同で運用しています。CVEには日本での脆弱性情報は網羅されていないことから、JVNは日本での脆弱性情報を提供するために設立されました。
- JVN iPedia
JVN iPedia(https://jvndb.jvn.jp/)は、JVNの情報に加えて日本国内外で日々発見される脆弱性情報を収集・公開・蓄積しているデータベースです。
- 各ベンダー
各ベンダーが自社の提供する製品の脆弱性情報について、自社サイトなどで公開することがあります。
脆弱性情報の収集方法
上記のようにさまざまソースから提供される膨大な脆弱性情報から、自社で利用している製品に関する情報を集めるには、いくつかの方法があります。
- 担当者自身で収集する
担当者自身で脆弱性情報のソースを定期的にチェックすることも方法の一つです。ただし、脆弱性情報は一年間で1万件以上の更新※されるため、業務負荷を考えると現実的ではありません。見落としのリスクも考えられます。
※参考:独立行政法人情報処理推進機構「 脆弱性対策情報データベースJVN iPediaの登録状況 [2023年第4四半期(10月〜12月)]」(2024/3/29確認)
- ツールを活用する
自社で効率的に脆弱性情報を収集するためにツールを使用する方法もあります。特に専門知識は不要で手軽に使えるツールの1つが「mjcheck4」です。mjcheck4は、JVN iPediaに登録されている脆弱性対策情報を製品名等でフィルタリングして収集できるツールです。対象の製品でフィルタリングすると過去の脆弱性情報を全件抽出することができます。脆弱性情報を検出した後は自社での判断や対応が必要になりますが、簡易的な脆弱性情報収集の方法としては効果的です。
- 外部業者に委託する
脆弱性情報やセキュリティ対策に精通する専門業者に依頼し、情報を提供してもらうことも1つの手段です。業務負荷を軽減できるうえ、専門的な知見からその後の対処についてアドバイスを受けることもできます。
脆弱性情報収集の課題
脆弱性に対処するには、膨大な脆弱性情報の中から最新情報を常に収集し、社内システムと突き合わせて影響を判断し対処する必要があります。この一連の作業を「脆弱性管理」と言います。
近年はサイバー攻撃の手法も多様化し、脆弱性を狙われるリスクが高くなっているため、脆弱性管理の負荷は増大する一方です。脆弱性情報の収集にはmjcheck4のような情報収集ツールの利用も有効ですが、mjcheck4で収集されるのはJVN iPediaの情報のみである点、製品のバージョン比較ができない点などの弱点もあります。
また、情報を検出した後も社内システムの情報との突き合わせにも時間がかかるので、自社で判断・実施するのはかなりの人的リソースを要します。
そのため、安全性を高めるにはこれらの課題をカバーするツールやサービスを併用、もしくは脆弱性管理ごと外部委託することも検討すべきでしょう。
脆弱性情報収集の課題を解決するには
前章のような課題を解決し、脆弱性管理業務の負荷を軽減するには、リンク ベアメタルクラウドが提供する「脆弱性管理サービスpowered by yamory」がおすすめです。
脆弱性管理サービス powered by yamoryは、Visional グループが提供する脆弱性管理クラウド「yamory」を活用したサービスです。ベアメタルクラウド上で稼働しているサーバーにyamoryのエージェントをインストールすると、使用中のOSやミドルウェアを洗い出し、脆弱性が存在しないかスキャンを行います。そして検知した脆弱性の深刻度を独自のロジックで評価し、OS単位で整理後、リンクのエンジニアによる考察を加えたレポートを毎月提供します。ユーザは考察に基づき対策を行うことで、脆弱性の管理運用が容易にできます。
また、オプションの「セキュリティ手動アップデートサービス」では、脆弱性のアップデート対応を代行します。このオプションを併せて利用することで、ユーザは脆弱性の検知から優先度の判断、実際の対応まで一連のサポートを受けることができ、業務負荷を大幅に軽減することが可能になります。リソースが足りずに脆弱性管理が疎かになっていた環境でも、サービスを導入することで安全性を高められます。
ベアメタルクラウドでは、その他にも監視・障害対応の代行や、WAFやIDS・IPSといったセキュリティソリューションの導入・運用代行などのサービスも提供しています。サーバーの運用や管理、セキュリティ対策の負荷を軽減したいと考えている方は、ベアメタルクラウドへの移行を検討してみてはいかがでしょうか。
まとめ
システムの安全性を確保するには、適切な脆弱性管理が欠かせません。特に重要なのが脆弱性情報の収集です。しかし脆弱性情報の数は膨大なため人が確認するのは難しく、広く普及しているツールにも弱点があります。
これらの課題を解決できるのが、リンク ベアメタルクラウドが提供する脆弱性管理サービスpowered by yamoryです。サーバー内の脆弱性のスキャンと深刻度の評価、そして対応の優先順位付けについて記載されたレポートを、専門知識を持つエンジニアの考察付きで受け取ることができます。脆弱性情報の収集を効率的かつ確実に行いたいと考えている方は、ぜひベアメタルクラウドと脆弱性管理サービスpowered by yamoryを検討してみてください。
