推奨される取り組み

17 脆弱性対策

設問

導入している情報システムに対して、適切な脆弱性対策を実施していますか。

(適切な脆弱性対策には、セキュリティを考慮した設定や、パッチ(修正プログラム)の適用、バージョン管理や構成管理、変更管理などが含まれます。)

説明

適切な脆弱性対策には、脆弱性情報や脅威情報の定期的な入手、不要なサービスの停止といったセキュリティを考慮した設定、パッチ(修正プログラム)の適用、バージョン管理や構成管理、変更管理などを含みます。

対策のポイント

1.脆弱性情報や脅威情報を定期的に収集しているか
2.脆弱性や脅威に大きな変化があった場合には、リスクを改めて評価し、ソフトウェアへのパッチ(修正プログラム)適用などの必要な措置を実施しているか
3.パッチについてテスト・適用が適切になされているか
4.情報システムの導入に際して、不要なサービスを停止するなど、セキュリティを考慮した設定を実施しているか
5.Webサイトの公開にあたっては、不正アクセスや改ざんなどを受けないよう、適切な設定や脆弱性の解消を行っているか
6.利用者によるソフトウェアインストールを管理する規則を設定し、実施しているか

解説

情報資産としてのソフトウェアについては、ライセンス管理やバージョン管理だけではなく、ソフトウェア自身の脆弱性の管理も実施しなくてはいけません。脆弱性に関する情報やそれを悪用した不正アクセス・ウイルスなどの脅威に関する情報は不定期に流れるため、なるべく最新情報を収集するとともに、大きな変化があった場合にはそれがどのようなリスクをもたらすのか評価し、適切に対処することが求められます。たとえば、ソフトウェアの脆弱性はパッチ(修正プログラム)を適用することで低減することができます。しかしながら、パッチの提供は信頼のおけるソフトウェア開発元が提供しているソフトウェアに限られると考えなければいけません。すでにサポートが終了しているソフトウェアや、インターネットや雑誌添付のCD-ROMなどで配布されているマクロプログラムやCGIプログラムなどは、十分な脆弱性テストが実施されていない場合もありますので、特に注意が必要です。

ソフトウェアの管理については、たとえば組織内標準システム(標準構成)という概念を取り入れ、一元管理を行うことをお勧めします。組織内標準システムとは、業務に利用するアプリケーションを特定し、利用環境を想定したセキュリティ対策をあらかじめ施したコンピュータのことを言います。ソフトウェアの脆弱性情報などについても一元管理できるように、情報共有のための仕組みを取り入れることが望まれます。

ソフトウェアを適切に管理するためには、システムの利用者それぞれがソフトウェアのインストールを行うのではなく、たとえば情報システム担当者の責任のもとに一元的にインストールを行うことで、不要なサービスが稼動していたりする設定ミスや脆弱性の残留を抑えることが可能になります。ソフトウェアやデータの廃棄についても手順を定め、情報システム担当者が一元的に行うなどの取り決めをすることも、ソフトウェアに関わるトラブルの低減に役立ちます。

また、ファイアウォールや内部サーバなどは、利用環境によって設定が異なる場合が少なくありません。またWebサイトのように外部のインターネットに公開され、不正アクセスや改ざんの脅威にさらされるシステムについては、特に注意が必要です。新たな脅威に対する防御という意味でも設定の見直しを定期的に実施することが必要になります。これらの作業を計画的に行うには、単なる情報収集だけではなく、設定の有効期限という概念を取り入れ、定期的に設定の入れ替えを実施することが必要です。管理する機器が多い場合には、作業の効率化とメンテナンスのし忘れの防止のために、自動的なログ分析に基づくリアルタイムな設定変更などについても十分に検討しなければなりません。

問題が発生する予兆があるにもかかわらず、簡単に予防できない場合には専門家に相談することも必要です。事故が起こってから業者を選定するのではなく、いつでも相談できるようにあらかじめ保守サービスや運用サービスを行っている業者にコンタクトをとっておくなどの準備も重要です。