「ゼロから学ぶ」セキュリティ知識#01:そもそも脆弱性って何?

セキュリティ対策ツール、EDR、Webアイソレーション、セキュアWebゲートウェイ、SOCなどなど、多くのセキュリティ関連用語をITニュース内に見つけることができます。
セキュリティについて、ゼロスタートで学んでいこうという「ゼロから学ぶ」セキュリティ知識シリーズ。第1回は、よく目にすることが多い「脆弱性」について、その対策とともに解説します。

企業や組織を狙うサイバー攻撃の勢いは衰えることを知りません。RaaS(ランサムウェア アズ ア サービス)などと呼ばれるサイバー犯罪ツールも登場し、サイバー攻撃も専門知識を要せずに行えるような状況にもなっています。
そしてサイバー攻撃と一口に言ってもその手口や種類はさまざまです。
中でもコンピュータの「脆弱性」を悪用し、企業内ネットワークに侵入することで、マルウェア感染や情報漏えいなどの被害をもたらすものもあります。
企業に勤める人が、まず注意するべきはこの「脆弱性」かもしれません。

 

あらゆるOSやソフトに脆弱性はつきもの

脆弱性とは、”プログラムの設計ミスまたは対策漏れなどが原因で生じるセキュリティ上の弱点”のことになります。これはマルウェア感染や不正アクセスの要因となる不具合です。
OS(基本ソフト)やアプリケーションソフトウェアも人間が開発するものです。いくらリリース前にβテストを行ったとしても100%を保証することはできません。
故にこれらには脆弱性がつきものなのですが、事前に見つかればまだしも、サイバー攻撃を受けることによって初めてその存在が明らかになるものもあります。
例えば、サイバー犯罪者によって改ざんされたWebサイト(脆弱性攻撃サイト)の閲覧や、メールに添付されたファイルの開封がきっかけでパソコンがマルウェアに感染してしまうことなどがあります。
こうした攻撃で悪用されることが多いのが脆弱性なのです。
では、従業員が行うべき脆弱性対策とはどのようなものがあるか見ていくことにしましょう。

 

業務用パソコンのOSやソフトの脆弱性対策

日々の業務遂行に欠かせないパソコンのOSやアプリケーションソフトにも脆弱性が存在しています。
通常、OSやソフトに脆弱性が見つかった場合、その開発元は速やかに脆弱性を修正するための更新プログラムを作成し、ユーザに無償で提供します。ユーザはそれを適用することでOSやソフトを安全に使い続けることができます。
皆さんも”Windows Update”や”Microsoft Update”などは目にしてきたこともあるでしょう。

Windows Updateなどは更新プログラムサイズが大きいと社内ネットワークに大きな負荷をかけることから、一般的に大企業は、統合管理ツールを用いることやWSUSを構築するなどして多数のパソコンに更新プログラムを計画的に配布し、あらかじめ指定した日時に一斉適用できる体制をとっています。
複数のパソコンを一括管理する仕組みを備えていない企業については、WUfBなどを使いネットワーク負荷を分散しながら更新プログラムが配布できるようにしていたり、中にはシステム管理者が従業員に更新プログラムの適用を個別に依頼するケースなどがあるでしょう。

一般に、OSやソフトの開発元から更新プログラムが提供された場合は速やかに適用することが推奨されます。
しhかしながら、企業によっては更新プログラム適用による社内システムへの影響を事前に検証し、その緊急性や安全性を確認した上でアップデートのタイミングを従業員に指示する場合もあります。従業員には企業に定められた方法、手順、タイミングでOSやソフトをアップデートすることが求められる場合があることも忘れてはなりません。
(Microsoft Officeとクラウドストレージだけで回っているような”The 事務”のような職種であれば、このようなことを危惧する必要はほとんどないといえるでしょう)

また、社内にWindowsの標準ブラウザであるInternet Explorer(IE)を使うシステムが存在する場合、Microsoft Edgeなどの最新ブラウザに移行しなければなりません。
Windows 10におけるデスクトップアプリとしてのIEが2022年6月15日にEoS(サポート終了)になるためです。サポート期限切れのソフトは脆弱性が見つかっても、それを修正する更新プログラムが配布されません。
即ち、脆弱性をそのまま放置することになり、マルウェア感染や情報漏えいなどのリスクは日増しに高まります。
業務使用パソコンの既定ブラウザをIEからMicrosoft Edgeなどに切り替えるようシステム管理者から指示があった場合は速やかに従ってください。

私たちはWindowsの標準ブラウザであるInternet Explorer(IE)を、少なくとも9カ月以内にMicrosoft Edgeなどの最新ブラウザに移行しなければなりません。Windows 10におけるデスクトップアプリとしてのIEが2022年6月15日にサポート終了になるためです。サポート期限切れのソフトは脆弱性が見つかっても、それを修正する更新プログラムが配布されません。つまり、脆弱性をそのまま放置せざるを得ず、マルウェア感染や情報漏えいなどのリスクが日増しに高まってしまうのです。
このことを忘れずに、業務で使用するパソコンの既定ブラウザをIEからMicrosoft Edgeなどに切り替えるようシステム管理者から指示があった場合は速やかに従いましょう。

 

Webサイトの構築・運用に必要なコンテンツ管理システムの脆弱性対策

企業によっては、商品やサービスの認知度アップ、販売促進などを目的としたキャンペーンサイト、およびECサイトを事業部門ごとに立ち上げるケースもあるでしょう。
その設計・開発、運用・保守においてセキュリティの観点で欠かせないのがコンテンツ管理システム(CMS:Webサイトのコンテンツを構成するテキストや画像、デザイン・レイアウト情報などを一元管理するシステム)の脆弱性対策です。
CMSの脆弱性を放置しているとどうなるでしょうか。Webサイトを不正に書き換えられ、マルウェア拡散の踏み台にされることがあります。
またECサイトの決済画面を改ざんされ、そこで利用者が入力したクレジットカード情報を盗み取られるかもしれません。利用者に実害が及んでしまった場合、運営元である企業の管理責任を問われ、高額な補償が必要になるだけでなく、社会的な信用も失墜することになれば事業の存続にも大きく影響してしまいます。単に「ごめんなさい」では済まない事態を招きます。

CMSの運用・保守をオーナーである事業部門が担っている場合は、脆弱性情報の収集と修正パッチの迅速な適用を徹底する必要があります。
外部事業者に委託している場合は、契約書に明記されているとおりに脆弱性対策が行われていることを確認しましょう。

期間限定の特設サイトなどを公開したまま放置するのも避けるべきといえます。これはCMSのアップデートがおろそかになりがちで、Webサイト改ざんなどの被害に遭うリスクが高まるためです。
不要になったWebサイトは速やかに閉鎖することをおすすめします。

 

企業が業務利用を認めていないIT機器やソフトの脆弱性対策

そしてここ数年、新たな問題となっているのがシャドーITと言われるものです。シャドーITとは企業が許可していない、あるいは利用ルールを設けていないIT機器やソフト、Webサービスなどを従業員がビジネスシーンに持ち込むことを指しています。
情シスあるあるともいえるのですが、情報システム部門に業務効率化のために導入の相談をすると頭ごなしに「No」と言われてしまい、事業部門は現場を優先し、情報システム部門の承認を得ることなく独自にIT機器やソフト、Webサービスなどを導入・利用することは見受けられるようになっています。
例えば、「Teamsによるコミュニケーションは社内で閉じてしまっている為、外部とのコミュニケーションツールとして、会社から認可されていないslackを使っていた。」などということはあったのではないでしょうか。
(さすがにslackはいまやメジャーな存在となったので、万全な脆弱性対策も施していると思いますが、立ち上がったばかりのWebアプリケーションには注意が必要です)

このようなシャドーITはセキュリティ統制の観点で忌避すべきものです。シャドーITを単純に使うなということではなく、シャドーITが行われると、システム部門が企業のIT環境の全容を把握できず、脆弱性などのセキュリティリスクを正確にとらえられないことに問題があると覚えておいてください。
当然、無断で使われるIT機器やソフトにはシステム部門の管理が行き届かず、それぞれの脆弱性対策は運用者の裁量に委ねられてしまいます。ここにセキュリティリスクが潜んでいるのです。
このため、厳しいセキュリティルールを定めている企業の多くは、従業員や事業部門が無断でIT機器やソフト、Webサービスなどを導入し、それらを業務利用することを認めていないのです。

ルールにはそれが作られた理由があります。(情報システムが管理が面倒という理由で”NG”としてしまっていることもあるかもしれませんが)
禁止されているのであれば、それに従うのが従業員の務めです。
企業やシステム部門が許可していないIT機器やソフト、Webサービスを業務に使いたい場合は必ず正式な申請・承認プロセスを経ることは徹底しましょう。
そして、ビジネスシーンへの持ち込みを許可された場合は企業のルールに従って脆弱性対策を行うことが重要であることは忘れずに覚えておきましょう。

 

【執筆:編集Gp ハラダケンジ】


本記事の内容はトレンドマイクロ様許諾のもと、is702の記事をベースに編集しております。
ソース:https://www.is702.jp/special/3897/

関連記事

カテゴリー:

ナレッジ情シス知恵袋

情シス求人

  1. チームメンバーで作字やってみた#1

ページ上部へ戻る