ITシステムやソフトウェアは、ときに「脆弱性」と呼ばれるセキュリティの欠陥が発見されることがあります。

製品自体の欠陥ではなくとも、製品が部分的に利用しているOSS（オープンソースソフトウェア）の脆弱性も存在するため、ベンダーは脆弱性が発見される度にそれを修正するためのパッチを公開します。

しかし、製品の利用環境や連携システムなど、利用者によって脆弱性の影響度は異なります。

そのため、ベンダーが公開するパッチを適用するだけではなく、利用者自身が脆弱性の管理をすることがセキュリティを高める上で重要です。

この記事では、脆弱性とは何か、脆弱性管理を行なう方法、脆弱性を意識したIT資産管理の方法について解説します。

脆弱性管理とは

適切な脆弱性管理を行なうためには、まず「脆弱性」と「脆弱性管理」の概要を知ることが大切です。

ここでは、それぞれどのような意味であるのかを解説します。

脆弱性とは

システムやソフトウェアにおいて、セキュリティリスクとなり得る欠陥や弱点のことを「脆弱性」と呼びます。

製品開発時には発覚していなかったバグや、新しい攻撃手法により突破されてしまうセキュリティホールが代表的です。

発見される脆弱性には「CVE識別番号」と呼ばれる番号が割り振られ、各脆弱性は一意に特定することが可能となっています。

脆弱性管理とは

多くの組織では、複数のITシステムやソフトウェアを利用してビジネスを行っています。

「脆弱性管理」とは、それらの脆弱性情報を調査・収集し、脆弱性を解消するまでのプロセスを指します。

脆弱性は日々発見されるため、1度きりの作業ではなく脆弱性管理をサイクルとして定期的に行なうことになります。

適切な脆弱性管理を行なうことで、組織のセキュリティを高めることに繋がります。

脆弱性管理を行なう重要性

脆弱性への対処ができていなければ、そこを狙ったサイバー攻撃が成功する可能性が高まる恐れがあります。

ITシステムが抱える脆弱性を把握し、適切に対応することは組織のセキュリティ対策として極めて重要と言えるでしょう。

広く知られている脆弱性に対応せず、サイバー攻撃のターゲットとなってしまえば、重大なセキュリティインシデントに繋がります。

また、その組織のIT管理品質に対して、外部から望ましくない評価を受けてしまう恐れもあるでしょう。

脆弱性管理は、組織のセキュリティを守るために重要な業務のひとつと言えます。

脆弱性管理を適切に行わない場合のリスク

脆弱性管理を行わず放置してしまうと、次のようなリスクを引き起こす可能性があります。

ネットワーク侵入の危険性

脆弱性が発見されると、悪意ある第三者が不正にネットワークに侵入することがあります。
企業が侵入されると、データの盗み見やパソコンの乗っ取り、他社へのなりすましメール送信など、様々な不正操作が可能になります。
データの盗聴や情報の改ざんもネットワーク侵入によって行われるため、脆弱性対策でネットワークセキュリティを強化することが重要です。

データ盗聴のリスク

データ盗聴は脆弱性を放置することで高まるリスクの一つです。脆弱性を狙い、ネットワーク上に侵入し、ファイル共有サーバーなどから機密情報や顧客情報、メール内容を盗み見ることがあります。企業の機密情報や顧客情報が流出すると、利益損失や信頼喪失のリスクが高まります。

マルウェア感染の懸念

脆弱性を突いたマルウェア感染リスクも懸念されます。マルウェアは悪意あるソフトウェアの総称で、ウイルスやトロイの木馬、ワーム、スパイウェアなどが含まれます。マルウェア感染により、業務への影響や他社への攻撃、情報漏洩の可能性があります。
マルウェア感染は、悪質な第三者が直接ネットワークに侵入して感染させるケースや、メールにマルウェアを添付して開封させる、企業のWebサイトにマルウェアを仕掛けて訪問者のパソコンを感染させる、USBメモリにウイルスを仕込んでばら撒くなど、さまざまな手口が存在します。

情報改ざんの恐れ

脆弱性を放置しネットワークに侵入されると、情報改ざんのリスクが高まります。
例えば、経理情報を管理するシステムに侵入され、売上情報が書き換えられたり、自社のWebサイトの情報が勝手に変更されたりする被害が考えられます。
また、業務に直接関わるファイルが改ざん・削除されるなど、ネットワーク侵入により自社のファイルが自由に操作されるリスクが高まります。このようなリスクを回避するためにも、脆弱性対策を徹底し、ネットワークセキュリティを強化することが重要です。

脆弱性管理を行なう方法

堅牢なセキュリティを維持するためには、発見される脆弱性を放置せず適切な対応を取ることが大切です。

ここでは、脆弱性管理を行なうために必要な作業を解説します。
※記載の内容は一例です。

脆弱性情報の収集

・Web上で情報収集する
システムを提供しているベンダーのWebサイトや通知により、脆弱性情報を収集します。

または、CVE情報を公開しているサイトを活用し、自組織に該当するものがないかをチェックすることも一般的な方法です。

参考：Mitre 「CVE List Home」

・脆弱性スキャンでチェックする
脆弱性スキャンツールと呼ばれる、システムの脆弱性をチェックするための製品を利用します。

スキャンツールを使用することで、システムのOSや利用中のソフトウェア、データ構造など様々な項目について脆弱性の有無をチェックすることが可能です。

脆弱性の評価

脆弱性によりリスクの度合いは異なるため、それぞれの重要度を把握する必要があります。

しかし、全ての脆弱性の詳細を正しく調査することは難しく、作業工数も必要です。

ベンダーにより、パッチの配布と併せて脆弱性の重大度が公開されることもあるので、参考にすると良いでしょう。

また、脆弱性を評価し、情報を公開しているCVSS(Common Vulnerability Scoring System)を利用する方法もあります。

ベンダーやセキュリティ有識者による議論も行なわれており、一貫した基準の下で脆弱性を比較することが可能です。

参考：情報処理推進機構 「共通脆弱性評価システムCVSS v3概説」

脆弱性への対応実施の判断

原則として、発覚した脆弱性には対処が必要です。

しかし、クローズドな環境で稼働するシステムや、意図的に停止している機能など、実質的なリスクとならない場合は対応を行なわないケースもあります。

そのため、組織のシステム構成や利用環境に応じて、有識者による判断が必要です。

脆弱性対策の実施

対処すると判断した脆弱性に対し、実際の対応を行ないます。

多くの場合は脆弱性の修正パッチが配布されており、その適用作業となるでしょう。

パッチによる対応が困難である、パッチのリリースまで時間が掛かるとベンダーが判断した場合は、設定の追加や変更などの対応策が案内されるケースもあります。

適切な脆弱性管理を行なうことで、多くのセキュリティリスクを排除することができます。

正確な脆弱性管理を支援するIT資産管理ツール

脆弱性管理を行なうためには、自組織が保有している機器を正しく把握することが重要です。

脆弱性管理を行なう上で把握しておきたい情報を、IT資産管理ツールにより効率的に管理することができます。
※製品により管理できる項目や名称は異なります。

機器の一覧情報

組織が保有しているクライアントデバイスやサーバー、ネットワーク機器の情報を一元管理することが可能です。

組織のIT機器は、ビジネスの内容やシステムの規模により膨大な数量になることも多くあります。

それらを漏れなくリアルタイムで管理することは膨大な工数を要しますが、IT資産管理ツールにおける機器の自動登録機能により効率的な管理を見込むことができます。

機器が一元管理されることで、収集するべき脆弱性情報や脆弱性対処の要否を判断しやすくなる点もメリットと言えるでしょう。

代表的な管理項目

・コンピュータ名
ネットワーク上でその機器を特定できる名前です。
適切な命名規則でコンピュータ名を設定していれば、名目を見るだけで用途や利用者を判別することもできるため、IT管理者の負担軽減に繋がります。

・OSのバージョン
稼働しているOSのバージョンです。
必要なパッチ適用が行なわれておらず、古いバージョンのOSを利用しているデバイスを特定することで、必要な対策を漏れなく実施することができます。

OSバージョンの情報は、脆弱性を調査するためにも重要な情報となります。

・インストールされているアプリケーション
デバイスにインストールされたアプリケーションです。
特定のデバイスだけで利用しているアプリケーションも含め、漏れなく管理することで、正確な脆弱性情報のチェックを行なうことに繋がります。

また、特定の製品に脆弱性が発見された場合でも、自組織への影響度や対策が必要となるデバイスを即座に確認することが可能となります。

IT資産管理ツールにより正確で効率的な管理を見込むことができます。

脆弱性を正確に管理してリスクに備えよう

ITシステムを利用する以上、脆弱性管理は必須と言えます。

仮に製品の開発時に完全なセキュリティ対策が実現されていたとしても、新たな攻撃手法により突破されてしまうこともあるためです。

ITシステムの脆弱性情報を素早く収集し、必要なパッチを適用することは組織のセキュリティ対策にとって重要な要素です。

そのためには、IT資産管理ツールによりITシステムを一元管理し、必要な情報収集に掛かる工数を削減することが効果的です。

LANSCOPE エンドポイントマネージャー クラウド版（以下エンドポイントマネージャー）は、Windows PC の最も基本的なセキュリティ対策となるWindows OS を最新の状態に保つため、Windows アップデートの適用状況を‟視認性の良い“レポート機能で把握できます。エンドポイントマネージャーはクラウドサービスのため、テレワークで利用しているPCなど社内ネットワークに接続されていないデバイスのアップデート状況も確認できます。

また、最新のOSにアップデートできていないデバイスを把握できるだけでなく、簡単なクリック操作のみでアップデート配信までできるため、アップデート管理の課題を解決できます。

LANSCOPE エンドポイントマネージャー 「デバイス検査」機能

エンドポイントマネージャーの「デバイス検査」機能は、収集した資産情報をもとに、管理者が設定した項目を検査し、違反しているデバイスを検知することができます。検査項目は脆弱性管理に役立つ項目が用意されています。

「デバイス検査」は、違反デバイスを一覧で確認することができ、違反内容や是正方法をダイアログで表示し、自動でユーザーに警告することができます。
また、設定したIPアドレス・ドメイン以外への通信を制限し、セキュリティリスクがあるデバイスのネットワークアクセスや業務用アプリの利用を禁止できます。
さらに、警告・ネットワーク遮断時に特定のアプリやブラウザを起動させる設定も可能で、違反デバイスを使用している利用者に対し、社内ポータルやマニュアルを示し、必要なファイルや手順を伝達できます。

本機能は検査用エージェントをデバイスにインストールし、エージェントが検査・アクションを行うため、デバイスの所在を問わず、デバイス検査や利用制御が可能です。
これにより、テレワークや移動中などの状況でも安全対策が実行され、組織全体のセキュリティを向上させることができます。

「デバイス検査」機能について、詳しく知りたい方は以下資料をダウンロードしてください。