HOMEIPAについて新着情報IPA テクニカルウォッチ 「脆弱性を悪用する攻撃への効果的な対策についてのレポート」の公開

本文を印刷する

IPAについて

IPA テクニカルウォッチ 「脆弱性を悪用する攻撃への効果的な対策についてのレポート」の公開

判断材料に活用できる、脆弱性対策の優先順位付けと組織へのリスクを図説

2013年9月26日
独立行政法人情報処理推進機構

 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、脆弱性を悪用した攻撃の傾向を踏まえて、リスク分析や効果的な対策の考え方を纏めた「脆弱性を悪用する攻撃への効果的な対策についてのレポート」を2013年9月26日からIPAのウェブサイトで公開しました。

 近年、特に2013年は、CMS(*1)等の脆弱性を悪用したウェブサイト改ざんやクライアントソフトの脆弱性を悪用したウイルス感染などの攻撃によって発生した、情報漏えい等の被害が社会問題化しています。脆弱性は、攻撃を受けなければ無害とはいえ、情報システムが抱えるセキュリティ上のリスクであり、システム運用者やPCユーザーは、脆弱性を放置することの危険性を十分に認識し、迅速で適切な対策を講じることが重要です。

 ソフトウェアに内包している「脆弱性」には、攻撃に悪用されている危険度の高いものだけでなく攻撃発生の可能性が低いもの、技術的な深刻度が低いもの(*2)まで様々なタイプが存在します。したがって、脆弱性対策は、全てのソフトウェアに対して闇雲に行うのではなく、組織への被害を回避するために、攻撃による影響やリスクを十分に把握した上で、最適な対策を実施することが重要です。
そのため、本レポートでは対策の要否を判断するための脆弱性の絞り込み(図1)や、リスクを把握するための3つの要素(①脆弱性の技術的特性、②攻撃状況、③組織への影響)を整理した上で、CVSS(*3)を用いて脆弱性の危険度を多角的に評価する方法を解説しています。(図2)

図1.組織にとっての危険度を考慮した、優先的に対策すべき脆弱性の絞り込み
図1.組織にとっての危険度を考慮した、優先的に対策すべき脆弱性の絞り込み

図2.組織にとってのリスクの算出要因
図2.組織にとってのリスクの算出要因

 そのほか、米国における脆弱性対策の自動化に向けた取組みの一環として開発された技術仕様であるSCAP(*4)やIPAでのSCAP活用事例についても紹介しています。

 なお、本レポートで解説した脆弱性対策の考え方とツールを使った対処方法を下記のウェブページ上で公開しています。
 ■URL:http://jvndb.jvn.jp/nav/guide_sysadm.html

 本レポートが、組織で効果的な脆弱性対策を検討する上での一助になることを期待しています。

脚注

(*1) Content Management Systemの略。Webコンテンツを統合・体系的に管理し、配信など必要な処理を行うシステムの総称。

(*2) IPAではCVSS(脚注3を参照)基本値を基にして深刻度のレベル分けを以下の様に行っている。
 レベルIII(危険):リモートからシステムを完全に制御されるような場合や大部分の情報が漏えいするような脅威。
 レベルII(警告):一部の情報が漏えいするような場合やサービス停止につながるような脅威。
 レベルI(注意):攻撃する為の条件が複雑な場合や、レベルIIに該当するが再現性が低い脅威。
詳細は、http://www.ipa.go.jp/security/vuln/SeverityLevel2.htmlも参照。

(*3) Common Vulnerability Scoring System:共通脆弱性深刻度評価システム

(*4) Security Content Automation Protocolの略。情報セキュリティ対策の自動化と標準化を実現する技術仕様。

レポートのダウンロード

テクニカルウォッチ概要のダウンロード

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター 大森/斉藤/岡下

Tel: 03-5978-7527 Fax: 03-5978-7518  E-mail:メール

報道関係からのお問い合わせ先

IPA 戦略企画部 広報グループ  横山/白石

Tel: 03-5978-7503 Fax: 03-5978-7510 E-mail: メール