NTT DATA

DATA INSIGHT

NTTデータの「知見」と「先見」を社会へ届けるメディア

絞り込み検索
キーワードで探す
カテゴリで探す
サービスで探す
業種で探す
トピックで探す
キーワードで探す
カテゴリで探す
サービスで探す
業種で探す
トピックで探す
background-image-careers
2014年5月29日技術ブログ

今どきの「脆弱性」対応について考える

今年度に入り、OpenSSL、Apache Struts、Internet Explorerなどに深刻な脆弱性が発見されたことが大きな話題となっており、個人、家庭レベルから企業、国家レベルまで各々の立場に応じたIT製品・サービスの脆弱性への対応が求められています。

脆弱性(ぜいじゃくせい)とは?

独立行政法人 情報処理推進機構(以下、IPA)が発行する「情報セキュリティ早期警戒パートナーシップガイドライン」によれば、脆弱性とは「ソフトウエア製品やウェブアプリケーション等において、コンピューター不正アクセスやコンピューターウイルスなどの攻撃により、その機能や性能を損なう原因となり得るセキュリティ上の問題箇所です。また、ウェブアプリケーションにおいて、ウェブサイト運営者の不適切な運用によって、個人情報などが適切なアクセス制御の下に管理されておらずセキュリティが維持できなくなっている状態も含みます。」と定義されています。

このような脆弱性が発生してしまうのにはいくつかの原因があります。単純な設計上、実装上または設定上のミスが原因となることもありますし、プロトコルやアルゴリズムそのものに想定外の問題が発見される場合もあります。また、開発時点ではセキュリティ上の問題が無くても新たな攻撃手法が発見されることによって脆弱性となってしまう場合もあります。

脆弱性関連情報の管理の重要性

世の中で広く利用されているIT製品やサービスに脆弱性が発見されると、その脆弱性を悪用した不正アクセスやマルウエアの増加により、個人情報が漏えいしたり不正送金がおこなわれたり、場合によっては企業活動そのものに重大な影響を及ぼす可能性があります。悪意を持って脆弱性を見つけようという試みは論外としても、研究開発や製品評価やシステム開発・運用の過程で、使用しているIT製品やサービスの脆弱性を発見するケースがあると思います。脆弱性を発見した人または組織が対策も検討されないうちに、その情報を広く公開してしまったらどうなるでしょうか?その脆弱性を悪用するものが現れ、被害が発生・拡大してしまうことになるでしょう。このため、我が国では脆弱性関連情報(脆弱性そのものに関する情報、検証方法、攻撃方法に関する情報)が発見された場合に、それらをどのように取り扱うべきかを示した経済産業省告示「ソフトウエア等脆弱性関連情報取扱基準」が制定されています。

これは、脆弱性を悪用した被害発生を抑制するために、脆弱性関連情報の適切な流通を行う調整機関を定め、発見者、製品開発者、ウェブサイト運営者と協力をしながら脆弱性関連情報に対処するという方針を定めたものです。この告示を受けて、前述のIPA「情報セキュリティ早期警戒パートナーシップガイドライン」が作成され、2004年から運用されています。(本年度改訂されました)

【図】

図:情報セキュリティ早期警戒パートナーシップ
出典:IPA「情報セキュリティ早期警戒パートナーシップガイドライン」より

脆弱性対応のポイント

ある日突然公表される脆弱性への対応に備え、各社のセキュリティ管理部門や情報システム部門の皆さんが脆弱性対応を行う際のポイントをまとめておきます。

  • 脆弱性問題によるシステムの事件、事故を想定し、経営層が問題解決を主導できる体制を整備しておく
  • 脆弱性情報の収集がタイムリーにできるようJVN(Japan Vulnerability Notes)などの社外データベースを活用する
  • 各システムでどのようなIT製品のどのバージョンが使用されているかを管理しておく
  • 脆弱性対応の情報共有スキームや費用負担について平常時からお客様と合意しておく
  • そもそも脆弱性が入り込まないよう、設計・開発時のレビュー体制を強化する
  • 運用中のシステムについては、定期的に脆弱性診断を実施する
  • 脆弱性関連情報を発見した場合は、IPA情報セキュリティ早期警戒パートナーシップガイドラインに従うと共に、当該情報を機密情報として適切に管理する

お問い合わせ