ソフトウェアの脆弱性 – システムにとっての鍵
脆弱性には、あなたのシステムを攻撃にさらす3つの基本的タイプがある。古いソフトウェア、設定ミスしたシステム、そして安全でないWebアプリケーションである。
しかし、これらの弱点を理解し、適切に管理することで、攻撃対象領域をかなり狭めることができる。
セキュリティ侵害のリスクはこれまでになく高まっている。マルウェアの量は2006年から毎年倍増している。平均して19の新たな脆弱性が出現している(出展:National Vulnerability Database)。脆弱性を悪用することが、企業のネットワークを侵害する上で最も効率的な方法であることは明らかである。
それでは、あなたはどうすれば、システムにどのような脆弱性が潜んでいるかどうかを知ることができるのだろう。
結局、ネットワーク上で稼動中のすべてのソフトウェアバージョン概要を把握するだけでもかなりの作業になる。その上で、設定ミス、各Webアプリケーション内の安全でないパスワード、その他にこれらの脆弱性が存在している恐れのあるかなり多くの場所を調べる必要がある。もし複数のシステム、サーバー、プラットフォームが有る場合、それは不可能に近い。
脆弱性スキャンと管理が解決策だ。
しかし、1回のスキャンでは、単に手っ取り早い解決策というだけで、たいした効果はない。完全に掌握するには定期的にスキャンを実行する必要がある。しかし、繰り返しになるが、数多くの脆弱性を検出しただけでは、それらを修正しない限りそれほど意味はない。あなたの重要なシステムを安全に保つためには脆弱性の管理が最重要なのである。
それでは、どこから始めるか?
たとえば、あなたのオフィスでの物理的なセキュリティを考えた場合、ドアと窓が最も明白なエントリーポイントとなる。そして、そのセキュリティを強化するときには、まずドアと窓がいくつあるか、そしてどこにあるかを探すだろう。そこには、すべての裏口、地下室や天井の小さな窓も含まれる。ソフトウェアにおいては、まず最初のステップとして、あなたのシステムのすべての資産を探す。サーバー、デスクトップ、ルータ、プリンター、そしてどこであれネットワークに接続されているその他の資産も含め、ネットワーク全体と、そのすべての資産をマッピングする必要がある。
次に、あなたの家に当てはめてみると、潜在的なセキュリティリスクをもたらす可能性があるドアや窓を知る必要があるだろう。ひょっとして、誰も使ったことがない裏口が、蝶番がはずれ落ちたままで存在しているかもしれない。または、新鮮な空気を取り入れるために、わずかに開いたままになっている小窓があるかもしれない。結局、これはかなり敷居の高い作業で、誰が達成できるだろう。 誰かはできるのかもしれない。つまり、意思のあるところに道ありというのはソフトウェアも言えることなのだ。あなたはすべての資産の概要を把握しているとすると、今こそネットワーク内のすべての潜在的な脆弱性を探し出すときだ。これらは、構成エラー、不適切なパッチ管理、誤った実装、またはその他のエラーによって引き起こされる場合がある。
あなたの家では、最後に大切なこととして、どんなタイプの錠と鍵があるか、そしてそれらが安全なのか知りたいだろう。たぶん、大昔の錠が使われていて簡単に壊されてしまうドアがあるかもしれない。もしくは、なくした鍵がどこかに落ちている可能性もある。あなたのネットワークでは、古いソフトウェアやWebアプリケーションは、システムへ鍵を与えることになる。
そして、Webアプリケーションは極めて脆弱なので - 実際、HP 2015 Cyber Risk Reportによると、86%のWebアプリケーションは深刻なセキュリティ問題を抱えている。あなたのすべてのWebアプリケーションをスキャンするべきだ。カスタムアプリケーションでは、クロスサイト・スクリプティングとSQLインジェクションを探し、脆弱性を特定したいだろう。
スキャンすることで、特に脆弱な場所や、さらに高度なツールを使って悪用しようとするようなハッカーにとって興味のある場所を特定することができる。
あなたが、システムを安全に保つために、殊更に注力し努力するのはこのためである。そして今、あなたは自分の家屋を知り、すべての可能性のあるリスクを特定したとしよう。でももし、その問題を解決し、すべての修正を完了して将来にわたり安全を保つことができなければ、何も良くはない。すぐに、あなたの努力は無に帰してしまう。その代わりに、管理人に壊れた窓、時代遅れの錠、その他の安全ではない所を知らせる必要がある。それだけでなく、資産を常に安全に保つための一貫したケアを保障するプロセスを考え出す必要もある。ソフトウェアを取り扱うときは、特定した脆弱性を管理するノウハウも必要だ。この脆弱性は本当にローリスクか、実際はハイなのか、間違っても大丈夫なのか。あなたにはレポートツールが必要だ。それは、何を、誰に、そして何時などの概要と、見つかった問題に対し簡単にチケットを作成する方法、さらに最も有り得ることだが、あなたの他のすべてのシステムと相互に作用できるものだ。
そして、あなたが他のソースから全く新しいゼロデイ脆弱性のことを知った場合には、今後のスキャンにそれを含めるよう、マニュアルで追加できるようにすべきだ。長い目で見れば、あなたのシステムのセキュリティ向上を支えるのは日ごろのスキャンと管理だけだ。
これは大変な作業のように見える。
当社を信頼してほしい。と言うのも、多くのプロセスは自動化できるので、必要なタスクに時間と労力を集中できるからである。ぜひ、全ての自動化を担うスキャナーを導入して、もっと付加価値の高い作業に集中する時間を作ろう。
今、あなたに解決策を提案しよう。
エフセキュアは、 あなたが脆弱性を探し、その修正を開始する時間を確保するための脆弱性スキャンおよび管理ソリューションF-Secure Radarを発表した。このソリューションは、脆弱性スキャンおよび管理のための、承認された(PCI ASV承認済み)ヨーロッパのソリューションである旧nSense Karhu製品に基づいている。
そして、あなたがF-Secure Radarで脆弱性のスキャンと管理を実施した後に、まだやるべきことが沢山あったら、Radar as a Serviceに依頼しよう。当社だけでなく、我々が選んだパートナーが、F-Secure Radar as a serviceを提供している。あなたが脆弱性スキャンから最大限の効果を得られるよう、専門家に任せることをお薦めする。
カテゴリ