日々新しい脆弱性が発見されており、重大な脆弱性は新聞などにも報道されるほど脆弱性は一般に重要視されています。ニュースになった脆弱性の影響がないかサーバーの管理者に確認することは多いと思います。脆弱性の影響があるかどうかを確認するためにはサーバーで使用しているソフトウェアのバージョンや設定を把握し、脆弱性について調査する必要があります。IT資産に存在する脆弱性について日頃から把握していないと、この確認には大変な作業が必要となります。
IT資産の現在の脆弱性の状況を常に把握することは、IT資産のリスク管理において重要なことであり、年に数回の脆弱性診断による脆弱性の把握だけでは日々新しく発見される脆弱性によるリスクを把握しきることは難しいです。
以上のことから日常的にIT資産の脆弱性管理を行い、必要に応じて、脆弱性対策を行うことはITリスクを管理するために重要です。

脆弱性管理

脆弱性管理を行うには以下のことが必要となります。

• 脆弱性の洗い出し
• 対応の優先順位付け
• 対応の実施

脆弱性の洗い出し

脆弱性管理を行うためには対象にどのような脆弱性があるか把握しておく必要があります。そのために脆弱性の洗い出しを実施しますが、よく実施されている方法は以下の二つです。

• 脆弱性スキャナーを用いて、管理対象の脆弱性を検出する方法

• 構成情報と脆弱性情報から脆弱性を洗い出す方法

それぞれの方法には、メリット・デメリットがあります。どちらが組織にあっているかどうかは組織の運用ルールなどに依存するため、自組織に合った方法を採用することを推奨します。

◆脆弱性スキャナーを用いて、管理対象の脆弱性を検出する方法

脆弱性スキャナーは、ネットワーク越しに対象に対して、テストパケットを送信します。その応答から脆弱性を検出したり、スキャナーを対象にインストールなどを行い、各種ファイルを取得し、ファイルの内容から脆弱性を検出します。
脆弱性スキャナーを用いて脆弱性を検出する方法のメリットには以下のようなものがあります。

• 脆弱性スキャナーで脆弱性を洗い出すため、脆弱性スキャナーの設置後は手間がかからない
  脆弱性情報は脆弱性スキャナーのベンダーが収集しており、脆弱性情報をユーザーが収集する必要がありません。また、脆弱性スキャナーがインストールされているソフトウェアのバージョン、設定と脆弱性のあるソフトウェアのバージョン情報、設定情報などを突合するため、脆弱性を容易に洗い出せます。
  
  

• ネットワークスキャンの場合、実際にテストパケットを送信することで、セキュリティ対策を施した後の実際のリスクの把握ができる
  ネットワークスキャンでは、実際の攻撃で使用されるものに似たパケットを送信するため、スキャナーの設置場所からの攻撃を防ぐFirewallやIPSなどのセキュリティ対策によるリスクの低減を考慮したリスクを把握できます。
  
  

• 管理者が把握できていないIT資産の脆弱性も把握できる
  いくつかのセキュリティインシデントは、把握できていないIT資産がインシデント発生元となり、被害が拡大します。このため、把握できていないIT資産を発見し、その脆弱性管理を行うことは非常に重要なことです。ネットワークスキャナーで、ネットワーク全体に対して、スキャンすることで、管理者が把握できていないIT資産を発見し、その脆弱性も把握できます。

一方、デメリットには以下のようなものがあります。

• スキャナーのインストールが必要となる。
• スキャン時に負荷が一時的に高くなり、サービスが停止する可能性がある。

◆構成情報と脆弱性情報から脆弱性を洗い出す方法

この方法を用いる場合、脆弱性情報をベンダーやセキュリティ情報サイトなどから収集する必要があります。
収集した脆弱性情報にはその脆弱性があるソフトウェア名とそのバージョンが含まれています。また、設定変更による回避策がある場合や、この脆弱性が有効となる前提条件がある場合、それらも含まれています。これらの情報と、現在使用中のソフトウェア名、バージョン、設定情報を突合し、脆弱性を洗い出します。

この方法のメリットには以下のようなものがあります。

• 実施するための準備が比較的容易
  構成情報と脆弱性情報の収集だけのため、スキャナーなどのインストールは不要であり、導入コストは低いです。

一方、デメリットには以下のようなものがあります。

• 把握している構成情報と実際にインストールされているソフトウェアのバージョン、設定内容が一致している必要がある
  脆弱性の有無の判断材料は構成情報が元となります。しかし、運用手順がルール化されていないなどの理由により、構成情報が把握されていないことが多々あります。運用が正しく行われていないと、管理対象の実機すべてについて、都度ソフトウェアのインストール状況を把握する必要があるため、多くの作業工数がかかります。
  
  

• 脆弱性情報の収集が困難
  新しい脆弱性が日々多数発見され、公開されています。また、脆弱性情報は各ソフトウェアベンダー、様々なセキュリティ情報サイトにわたっており、情報を収集し、取捨選択するために多くの時間がかかります。
  
  

• 管理対象は管理者が把握しているIT資産に限られる
  把握できていないIT資産は管理上存在しないものであり、構成情報も把握されていません。このため、把握できていないIT資産はその資産を管理する管理者に依存して、脆弱性が管理されることになり、組織全体で統制された脆弱性管理が行えません。

対応の優先順位付け

発見された脆弱性をすべて同時に対応することが望ましいです。しかし、リソース不足、対応スケジュールの問題などにより、同時に対応することは現実的には難しいため、どの脆弱性から対応するか優先順位をつける必要があります。

脆弱性管理を実施する前に、優先順位を決定するルールを予め策定し、それに従って優先順位を決定することが望ましいです。対応の優先順位は脆弱性の深刻度（脆弱性が引き起こすセキュリティインシデントの影響度）の高いものから順につけていくことが一般的です。

しかし、このルールでは脆弱性のある機器の重要性（機密情報が保存されている、基幹業務で使用しているなど）が反映されていないため、重要性の低い機器に重大な脆弱性が存在すると先に重要性の低い機器の対応を行うこととなってしまい、重大なインシデントにつながる可能性が高くなります。このため、脆弱性の深刻度に加え、機器の重要性も考慮して対応の優先順位付けルールを策定することが望ましいです。

対応の実施

検出された脆弱性を優先順位付けルールに従って、対応を行います。脆弱性対応は以下のいずれかとなりますが、事前にルールを策定しておくことを推奨します。

• 脆弱性が引き起こすリスクの低減
• 脆弱性が引き起こすリスクの受容

◆脆弱性が引き起こすリスクの低減
脆弱性が公開された場合、緩和策がある場合は同時に緩和策も公開されます。また、必要に応じて、脆弱性が修正された新しいバージョンや設定情報が公開されるため、それらを適用することが脆弱性を解消することになります。緩和策やバージョンアップなどの脆弱性対策を実施することで、リスクの低減が可能となります。
しかし、本番環境ではサービスを提供することがもっとも重要なことであり、既存の環境に脆弱性対策としてバージョンアップや設定の変更を行うことで、機能に不具合が出ることは避けなければなりません。このため、バージョンアップや設定の変更によって不具合が生じないことを事前に確認する必要があります。
また、リスクを低減するかどうかの判断基準、実施する場合の環境の準備、適用ルールといったルールを事前に策定することが望ましいです。

◆脆弱性が引き起こすリスクの受容
脆弱性はすべて対応する必要性はなく、引き起こすリスクの内容に依存して、受容することもできます。例えば、対策にかかるコストがそれによって引き起こされる被害を上回る場合は、リスクを受容します。また、脆弱性による被害が大きいが、対応に時間がかかる脆弱性によるリスクを一時的に受容することもあります。
事前にどのような場合に脆弱性によるリスクを受容するかルールを策定することが望ましいです。

上記いずれかの対応を行い、その実施時期について事前にルールを策定し、そのルールに定められた期間内に対応を行う計画を立て、それに従って実施することを推奨します。

まとめ

脆弱性管理は組織のリスク管理に重要なことであり、いくつかのルールを策定して実施することが必要となります。また、脆弱性管理ルールを厳格に運用することで、今まで問題視されてこなかったIT資産の管理ルールの問題が明らかとなり、改善の必要性が明確になることもあります。これにより、インシデントの発生を抑えられ、必要なセキュリティ対策も洗い出しができ、今後のセキュリティ施策に役立てることができます。

今回脆弱性管理のうち最低限実施しなければならないことについてのみ解説を行いました。しかし、IT資産のリスクを管理し、組織のセキュリティレベルをより高いものにするには解説したものだけでは不十分です。もし、解説した内容の脆弱性管理ができていなければ、早めにルールを策定し、実施することをおすすめします。