連載
» 2020年06月16日 05時00分 公開

脆弱性対策・管理入門(4):現在のセキュリティ脅威に合っていない「脆弱性対策は公開サーバだけ」という実情

脆弱性対策の重要性を基本から説明し、脆弱性スキャナー/管理システムの有効性を説く連載。今回は、脆弱性対策は公開サーバだけでよいのかどうかについて。

[草薙伸,テナブル・ネットワーク・セキュリティ・ジャパン]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 脆弱(ぜいじゃく)性対策の重要性を基本から説明し、脆弱性スキャナー/管理システムの有効性を説く連載「脆弱性対策・管理入門」。第2回第3回では、新型コロナウイルス感染症(COVID-19)拡大に伴うテレワーク環境の整備と「Windows 7」のサポート終了という、今日的な課題における、脆弱性対策の重要性について説明した。

脆弱性対策は公開サーバだけでよいのか

 連載第4回となる今回は、現在的なセキュリティ上の脅威の観点から考えて、脆弱性対策の対象が公開サーバだけになることの問題点について考える。

 前回の記事でも書いたように、海外に比べて日本では脆弱性対策は遅れており、脆弱性対策の対象を公開サーバだけにしている企業は今でも多い。「インターネットにサービスを公開しているサーバは、必ず脆弱性対策を行うべき」という点には誰も異論はないだろうし、企業が管理する公開サーバでは何らかの対策が講じられているだろう。サーバのOSがWindowsであれLinuxであれ、脆弱性対策はしなければならないという認識は既に広まっている。

 しかし日本では、その対象が公開サーバに限定されてしまう傾向がある。不正侵入が行われる可能性があるのは、インターネットに公開されている部分だけという考えは正しいのか。公開サーバ以外は気にしなくてよいのだろうか。そして、この公開サーバ重視の考え方は、現実の脅威に対して有効であるのか。

標的型攻撃と脆弱性

 標的型攻撃を例にとってみよう。日本国内ではIPAが「情報セキュリティ10大脅威2020」を発表しているが、標的型攻撃は2019年に続いて第1位であり、最も社会的な影響が大きかった脅威として位置付けられている。

 また、2020年早々に三菱電機NECにおいても不正侵入が確認され社会的なニュースとなっており、これも標的型攻撃として分類される。

 特定の組織や個人に狙いを定め攻撃を行う標的型攻撃は、メールやソーシャルエンジニアリングなどさまざまな手法を用いてユーザー側端末にマルウェアを送り込み、マルウェアをシステム侵入の足掛かりとすることが多い。マルウェアを送り込む際に悪用されるのが、ユーザー側端末のブラウザ、メールクライアント、PDFリーダーなどクライアントソフトウェアにおける脆弱性、それもほとんどが既知の脆弱性である。マルウェアからその端末にさらにバックドアなどを送り込み外部から操作できるようにする。そこを足掛かりとして、他のシステムへと侵入を拡大していく。他のシステムへ侵入する際も、また脆弱性が悪用されることになる。何度も繰り返し脆弱性を突かれ、目的とする重要なデータにたどり着くまで続いていく。

 このとき、攻撃の対象になるのは、公開されているサーバに限らずその企業に存在する全ての端末である。クライアント、サーバに限らずネットワーク機器やIoT機器が侵入の足掛かりになるケースもある。

 攻撃者は、その端末自体がインターネットから直接接続できるかどうかは関係なく、あらゆる手段を使ってマルウェアを送り込んでいく。どこからか送り込まれたマルウェアに感染した端末から、他のシステムへの被害の拡大を防ぐために有効な手段は全ての端末において脆弱性をふさぐことである。標的型攻撃では、あらゆる脆弱性が突かれることになるが、それでも攻撃者が目的とするデータにたどり着くまで、大きく時間をかせぐことができる。

その他の脅威

 標的型攻撃以外でも、情報セキュリティ10大脅威2020における内訳を見ると、下記のように、10大脅威中の7つが、程度の差はあるが、脆弱性に対する攻撃と関連している。

  • 1位:標的型攻撃による機密情報の窃取
  • 4位:サプライチェーンの弱点を悪用した攻撃
  • 5位:ランサムウェアによる被害
  • 6位:予期せぬIT基盤の障害に伴う業務停止
  • 8位:インターネット上のサービスからの個人情報の窃取
  • 9位:IoT機器の不正利用
  • 10位:サービス妨害攻撃によるサービスの停止

 そして、その7つのうち、10位のサービス妨害攻撃以外の6つは、サーバ以外の端末が攻撃対象に含まれている。公開サーバだけの脆弱性対策が現実に合っていないことは、この情報でも明らかだ。

脆弱性対策の課題

 脆弱性は数多く常に発見され続けるもので、未知の脆弱性を突くゼロデイ攻撃も考えれば、全ての脆弱性を完全にふさぐことはできない。そして脆弱性をふさぐためのパッチ適用まで含めれば、IT管理者の負担は大きい。その結果、「全端末を対象にした脆弱性対策については早々に諦めてしまい、以前から行われていた公開サーバだけに限定する」というのが実情のようだ。「すぐ対処できないため、脆弱性が見つかっても何もできない」という話もよく聞く。クライアントに限らず内部サーバの脆弱性対策でさえ、手付かずの企業は多い。

 脆弱性対策が非常に効果的なセキュリティ対策ソリューションであることが米国では広く受け入れられているが、日本ではセキュリティ情報を追いかけて修正を施すスキルと人材の不足、そしてシステムの安定稼働に対するプレッシャーが原因となり、やらなければならないことを知りながら諦めているのが実情だろう。

 今後に向けてIoTやOTなど、多種多様なプラットフォームにおける脆弱性も少しずつ話題になってきているが、セキュリティの観点からはまず全てのIT端末における脆弱性の管理が行われていくべきだ。

脆弱性管理システム

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。