脆弱性管理
脆弱性管理とは、情報システムの設定ミスとセキュリティ脆弱性を可視化および対処するためのプロセスやツールを指します。流れとしては、脆弱性情報を収集し、影響範囲の特定と緊急性を判断し、対応するという作業になります。
脆弱性管理には以下のような項目が含まれます。
- リスク分析
- 脆弱性診断
- パッチ管理
リスク分析
リスク分析は、大きくベースライン法と脅威分析法に分かれます。
- ベースライン法
チェックリストを基に適合状況を確認し、適合していない項目を脆弱性と考える。チェックリストには、ISMS(情報セキュリティマネジメントシステム)やサイバーセキュリティ経営ガイドラインなどが利用される。 - 脅威分析法
対象のシステムに対し、それにより実現されている事業の重要度(被害レベル)・脅威・脆弱性の評価指標のによりリスク分析を行う。
脆弱性診断
脆弱性診断とは、OSやアプリケーションの既知の脆弱性に対する診断で、市販ツールなどが利用されます。診断対象はサーバやネット機器などですが、ブラックボックスとして扱います。
パッチ管理
パッチ管理とは、ソフトウェアベンダーから提供される修正プログラム(パッチ)を適用することで、全てのソフトウェアを最新のバージョンに保つための一連の作業です。
製品ベンダーなどから出されるアップデート情報を定期的に確認し、具体的な対処方法を設定し、システムが脆弱性を突いた攻撃を受ける前に、リスクを許容レベルまで極小化することが重要です。
パッチ管理のポイントは、脆弱性情報を収集し、緊急性の判断を行い、適用した後は、脆弱性に対応できていることを確認することです。
脆弱性情報を収集
脆弱性情報の収集先として、製品ベンダのホームページやIPA(JVN iPedia)、JPCERT/CCなどの公的機関からの情報が活用できます。IPAのサイトでは、データベース登録された脆弱性情報をWebから検索可能です。
https://jvndb.jvn.jp/
緊急性の判断
脆弱性の緊急性判断には、CVSS(Common Vulnerability Scoring System) が用いられます。CVSSとは、脆弱性に対するオープンで汎用的な指標で、緊急性の表現が標準化されています。
CVSSは、1.0~10.0の数値で表され、7.0以上が緊急度「High」とされており、早急な対応が必要と考えられています。
