日々システムを運用していく中で、次々と公表される新しい脆弱性に対して、その対応に頭を抱えている担当者も多いのではないでしょうか。今回は、限られたリソースの中での効果的なシステムの守り方を整理します。

脆弱性の対応の前に、情報資産の把握を

「新たな脆弱性が公表されたが、うちのシステムは大丈夫なのか」と組織内で大騒ぎすることは少なくありません。ここで大切なのが、自身の管理下に「どのようなシステムがあり、何のOSやソフトウェアが、どのバージョンで動いているか」を把握できているか、という点です。管理できていないサーバーや、過去に立ち上げてそのまま放置されたシステムがあれば、そこがそのまま攻撃者の侵入口になってしまいます。脆弱性対応の第一歩として、地道に自分たちの情報資産を正確に把握し、自身の管理するシステムが公表された脆弱性に該当するかを迅速に判断できるようにしておくことが大切です。

脆弱性への対応基準

情報資産を把握できたら、次は発見された脆弱性の精査です。該当する全ての脆弱性に即時対応することが理想で、自動更新可能かつ運用上支障がないシステムは有効にしておくのが賢明です。しかし、人的・金銭的コストの面から現実的には困難な場合もあります。そこで重要になるのが、対応の優先順位付けである「トリアージ」という考え方です。

脆弱性の深刻度を測る指標として広く利用されるCVSS（Common Vulnerability Scoring System）があります。これは脆弱性の深刻度を0.0〜10.0の数値で表したもので、算出されたスコアの大きさや評価基準を参考にした優先順位付けができます。たとえば、リモートコード実行（RCE）が可能な脆弱性については、攻撃者が外部ネットワークからシステム内部に侵入する恐れもあるため、最優先で対処する必要があります。一方で、ローカル権限昇格の脆弱性については、攻撃の実行条件として「システムにアクセスする権限を既に持っていること」が前提となるため、ローカルユーザーが悪用されうる環境以外では、対応の優先順位を少し落とすことができます。このように優先順位付けの基準を組織内で準備しておくことで、素早く対応の判断ができるようになります。

一方で、脆弱性が発見されたからといって、すぐにそれを利用したサイバー攻撃が起こるとは限りません。そこで参考にしたいのが、米国サイバーセキュリティ・社会基盤安全保障庁（CISA）が公開しているKEV（Known Exploited Vulnerabilities）です。KEVは「実際に悪用が確認され、対処方法が明らかな脆弱性」のカタログです。つまり、KEVカタログに掲載されていれば 、即時対応すべきと言えます。CISAはKEV等を指標とした優先順位付け基準としてBOD 26-04を発行していますので、こちらも参考にしてみてください。

脆弱性との上手な付き合い方を目指して

システムを運用し続ける限り、脆弱性をゼロにすることは不可能です。最近では、AIを用いた脆弱性の探索やコード解析が自動化され、新しい脆弱性がこれまで以上の頻度で発見・公表されるようになってきています。だからこそ、「脆弱性は必ず発見されるもの」という前提で、「情報資産の把握」と「対応基準の策定」という原点を見つめ直すことが重要です。基本を徹底し、脆弱性と上手につき合っていく仕組みを組織全体で作り上げていきましょう。

（津田 侑：情報環境機構 セキュリティアーキテクト）
 

（マンガ：生成AIで作成しました）

画像