脆弱性を調査する
効果的な脆弱性対策を実施するには、多数の情報から自組織に関連する脆弱性情報の収集を行い、組織への影響度も考慮したうえで早期に対応を判断することが重要となります。
情報収集からの分析までのSTEP
情報の絞込み
多数の脆弱性関連情報から自組織に関係があるソフトウェアやアプリケーションの情報を収集します。情報の収集、絞り込みにはIPAなどが提供するサービスやツールなどを使用するといった方法があります。日々多くの脆弱性が発見されており、自社に関係あるものを絞り込んでいくためには、自社で使っているソフトウェアやアプリケーションの管理表と合わせて対応していくことが重要です。
脆弱性の危険度(深刻度)を確認
脆弱性関連情報データベースにて公開している脆弱性関連情報において危険性を確認します。どのようなシーンで攻撃が可能なのか、攻撃の難易度はどの程度なのかを確認します。
自組織への影響を分析
最終的には公開された脆弱性は自社にとって影響が出るか確認を行います。分析では以下を中心に見ていきます。
出典:情報処理推進機構(IPA)
脆弱性対策の効果的な進め方(実践編)第 2 版~脆弱性情報の早期把握、収集、活用のスヽメ~ 」をもとに作成
https://www.ipa.go.jp/files/000071660.pdf
脆弱性の情報は日々更新されています。また、自社には関係ない情報もあります。いかに早期に情報を把握・収集するかが大切です。情報処理推進機構(IPA)では脆弱性対策情報の早期把握、収集、活用のそれぞれのフェーズに役立つ支援ツールやサービスを公開しています。
IPA が提供する脆弱性対策支援サービス・ツールの抜粋
| フェーズ | 目的 | サービス・ ツール名 |
関連リンク等 |
|---|---|---|---|
| 早期把握 | 脆弱性情報の収集 (緊急度・危険度高) 脆弱性情報の受信 (組織内への案内等) |
IPA 重要なセキュリティ情報
注意警戒情報サービス |
概要へリンク 一覧へリンク Twitterへリンク リンク |
|
脆弱性情報の受信 (組織内への案内等) |
サイバーセキュリティ注意喚起サービスicat | リンク | |
| 収集 |
脆弱性情報の収集 (すべての脆弱性) |
脆弱性対策情報データベースJVN iPedia |
リンク Twitterへリンク |
|
脆弱性情報の収集 (自組織すべて) (システム毎) (開発製品毎) |
MyJVN 脆弱性対策情報収集ツール | Adobe Air版へリンク | |
|
脆弱性情報の収集 (日本で広く利用されているサーバ用オープンソースソフトウェア) |
サーバ用オープンソースソフトウェアに関する製品情報およびセキュリティ情報 | リンク | |
| 活用 | 自組織への脆弱性の影響度を確認 | CVSS 計算ソフトウェア | リンク |
| PCの主要ソフトウェアが最新かを確認 | MyJVNバージョンチェッカ | .Net Framework版へリンク |
出典:情報処理推進機構(IPA)
脆弱性対策の効果的な進め方(実践編)第 2 版~脆弱性情報の早期把握、収集、活用のスヽメ~
https://www.ipa.go.jp/files/000071660.pdf
こんな事例も
自社に対する脆弱性の情報把握には、システムに関する知識など技術的な要素が求められます。しかしながら、セキュリティ担当者が必ずしも技術に詳しいというわけではありません。技術に詳しい社員に協力をしてもらったり、システムや機器の保守を依頼している企業との連携も重要になります。
保守担当者が脆弱性の情報にいち早く気づき顧客へ対応の打診をしたところ、業務が忙しいためにアップデートに対応する時間が無いといった事例はよくあります。セキュリティの担当者は脆弱性の理解を高め、保守担当者と連携して、対応を検討していくことも重要です。