ぜい弱性対応のあるべき姿(Equifaxの事件を振り返って)
はじめに
以前に、ぜい弱性対策こそ、いの一番でやるべきセキュリティ対策であるということをお伝えしました。とはいえ、実際のところ、様々なシステムを運用している中で、ぜい弱性をそもそも認知できていない、ぜい弱性が発見されたところで全て対応できないというケースも多いのではないでしょうか?
本記事では、ぜい弱性が発見された際にどのような対応していくべきかのガイドをお伝えしたいと思います。
shoulders-of-giants.hatenablog.com
ぜい弱性対応の不備で発生した大規模情報漏えい
米Equifaxの情報漏えい事件は、ご存知でしょうか?
1億5000万人もの個人の情報が漏洩しました。その個人情報には、名前や住所、生年月日、運転免許証、さらにはSocial Security Numbersまで含まれていた可能性があり、史上最悪の事件と言われています。
このEquifaxの情報漏えい事件は、ぜい弱性対応の不備で発生したものです。Equifaxの提供するWebサービスで利用されているApache Strutsのぜい弱性をつかれたことにより情報漏えいにつながったといわれています。Equifaxの担当者は、Apache Strutsのぜい弱性を認識していたにもかかわらず、パッチ未適用なまま放置されてしまいました。Apache Strutsのぜい弱性は非常に有名なものであったため、ぜい弱性公開の2日後にはEquifaxのサーバに当該ぜい弱性の有無を確認するスキャンが行われており、5日後には実際に攻撃者は侵入に成功したといわれています。
ぜい弱性対応の流れ
Equifaxのような不幸な事件が発生しないように、企業においてはぜい弱性対応のプロセスが明確に定義されている必要があります。
大きな流れとしては下記の通りです。
- システムの利用しているソフトウェアの把握
- ぜい弱性情報の収集
- ぜい弱性が発見された際の対応
1,2については、ぜい弱性管理ツールを利用するのが手っ取り早いかと思います。
3.については、明確な定義がなければ、各システムの担当者や情報セキュリティの担当は、各々の判断でパッチ適用を実施してしまいます。それでは、本当に適用すべきパッチが未適用なまま放置されてしまう可能性があります。
では、3.のぜい弱性が発見された場合の対応ですが、どのような対応をとればよいでしょうか?
ぜい弱性対応のあるべき姿とは?
ぜい弱性対応は、事前の準備が非常に重要になります。
Equifaxから、以下の点が大事であることが学べると思います。
- ぜい弱性の情報を届くべき人のところに届けられるようにする
- 自システムにおけるぜい弱性の有無の検証方法の明確化にする
- ぜい弱性の緊急度に応じて優先度付けを行う
コミュニケーションパスの定期的な確認、ぜい弱性管理ツールの利用方法の明確化などを実施し、ぜい弱性が発見された際は漏れなく担当者が確認できる仕組みづくりが必要といえます。3つ目のぜい弱性の緊急度については、詳細に述べたいと思います。
ぜい弱性の緊急度
ぜい弱性の緊急度が組織として定義されていることにより、システムの担当者は容易に「すぐに」対応すべきぜい弱性かそうでないかを判断できます。万が一、ぜい弱性をつかれてしまい情報漏えいした場合にも、組織を守る、担当者を守る意味でも、ぜい弱性の緊急度とその対応方針は非常に重要な規定となります。
以下の4つの観点からぜい弱性の緊急度を定義することをお勧めします。
攻撃元のネットワーク × 攻撃条件の複雑性 × 攻撃可能性 × 攻撃成功時の影響
- 攻撃元のネットワーク
インターネットから攻撃可能か、隣接ネットワークなら可能か、対象デバイスへの物理アクセスが必要か - 攻撃条件の複雑性
認証が必要、長時間の攻撃試行、複数のぜい弱性の連鎖が必要など - 攻撃可能性
ぜい弱性の対象プロダクトの世間の知名度、PoCコードあり、実際に攻撃あり - 攻撃成功時の影響
ぜい弱性のあるプロダクトを利用しているシステムが、重要な情報を保持しているか、ダウンした場合の影響が大きいか
これらに基づき、緊急度が高なら2日以内にパッチ適用、緊急度中なら1ヶ月以内にパッチ適用、緊急度低なら3ヶ月以内にパッチ適用等定めるとよいと思います。
なお、ぜい弱性の緊急度の判断をCVSSに基づいて実施しているという方もいると思いますが、現時点でCVSSはあまり有効な指標とはいえません。*2
まとめ
Equifaxの事件を振り返りながら、ぜい弱性対応のあるべき姿を述べました。
企業の担当者は、不足している点について改めて見直してみるとよいのではないでしょうか?