“脆弱性対策はサボったら負け” リソース不足の組織がやるべき“基本のき”：半径300メートルのIT

先日、OpenSSLのセキュリティアップデートが予告され、大きな話題を集めましたが、読者の皆さんはしっかりと対応できたでしょうか。しかし、今回以外にも脆弱性は日々見つかるもの。“全部は対処できない”という組織は何から始めればいいのでしょうか。

[宮田健，ITmedia]

　2022年10月末、多くのシステムで利用されるオープンソースソフトウェア（以下、OSS）「OpenSSL」に大きな動きがありました。OpenSSLプロジェクトは同年11月1日に“緊急”レベルの脆弱（ぜいじゃく）性対応を含むバージョンアップを予告したのです。この時点で詳細は明らかにされていなかったものの、予告するほどの脆弱性対応が含まれることから“準備を万全に整えてほしい”という意図がうかがえました。

　そして予告通り、2022年11月1日には「CVE-2022-3602」と「CVE-2022-3786」に対応したバージョンであるOpenSSL 3.0.7が公開されました。このバージョンは2つの脆弱性に対処しましたが、蓋を開けてみればどちらも深刻度が“緊急”ではなく“重要”であったこと、また多くのシステムで利用されているOpenSSL 1.xはこの問題の影響を受けないことから、システム管理者の中には拍子抜けしたと思う方もいるかもしれません。

　しかし「備えあれば憂いなし」です。対応する手間を嘆くよりも、サイバー攻撃や深刻な脆弱性が見つからず「何も起きなくて良かった」と考える方が前向きなはずです。

“凶悪なライオン”から身を守るために、まずやるべきこと

　多くのシステム管理者は今回のアップデートが予告されたとき、2014年に見つかった「CVE-2014-0160」の脆弱性、通称「Heartbleed」に関連した一連の騒動を思い出したはずです。Heartbleedは「多数の目がチェックしているからOSSに大きな脆弱性はないはずだ」という考えが、誤りであることを教えてくれた貴重な事例です。

　個人的には、脆弱性への対処はサイバー攻撃に対する備えそのものだと思います。JPCERTコーディネーションセンター（JPCERT/CC）が公開する脆弱性情報を見ると、毎日数件の脆弱性が報告されています。その全てに対応すべきとはさすがに思いませんが、ここに公開されている脆弱性はサイバー攻撃者側にも当然知られているものだと考えると、実際のサイバー攻撃に利用されるのも時間の問題でしょう。

　脆弱性対処に向けたリソースが無尽蔵にあれば全てのアップデートを適用すべきですが、そうでない企業の場合は、まずはどのような脆弱性が話題になっているかをチェックするところから始めましょう。例えば「ITmedia エンタープライズ」の記事でピックアップされた脆弱性だけでも、対応を検討するという指針でもいいかもしれません。

　先日、ITmedia エンタープライズでレポートを公開した（ISC）2のイベントにおける基調講演で、National Cyber Security Centre（英国国家ナショナルサイバーセキュリティセンター）の創設者であるキアラン・マーティン氏はサイバー犯罪を「凶悪なライオン」に例え、「私たちはライオンよりも速く走る必要はないが、ライオンから逃げている他の人たちよりも速く走らなければならない」と語りました。

　つまり対処が他の人（企業）よりも遅れた場合、サイバー犯罪者はあなたの組織を「攻撃しやすいシステム」と認識するかもしれません。そうならないためには走らなければならないのです。

“脅威アラート疲れ”を解消するにはどうすればいいか？

　そうは言っても、トラブルに対処しつついつ来るか分からないサイバー攻撃に備えるのは簡単ではなく、“日々発生するアラートへの対処に疲れてしまった”という方もいるはずです。この負担を低減するために、セキュリティの世界ではこれまでさまざまな機器が登場し、脅威を自動で検出しようとしてきましたが、それは偽陽性や偽陰性との戦いでもありました。AI（人工知能）を含めた機械学習がこれを改善すると言われ続けてもう10年はたとうとしていますが、やはり期待してしまいます。

　こうしたアラート疲れの原因は恐らく「優先して対応すべきものがどれか分からない」ことにあるのかと思います。何を優先すべきか組織によって異なるはずなので、その点をあらかじめ決めておくことが非常に重要になるでしょう。

　脆弱性への対処を優先するのであれば、特定の脆弱性を利用したサイバー攻撃が観測された情報が入れば即時対応するといった方針が挙げられます。また、サイバー攻撃への対処を優先するのであれば、サイバー被害を受けたという報道をきっかけに攻撃手法を調査し、自社も標的になり得る場合には対策を進めたりするなどが考えられるでしょう。

　最近は国内の病院でサイバー攻撃による大きな被害が確認されています。これは病院を標的にしたというよりも、たまたま病院がサイバー攻撃に当たってしまったと考えることもできるでしょう。その対象が私たちの組織ではないことは単なる幸運でしかないとするなら、やはり「他の人よりも速く走る」ことは有用であるはずです。

　皆さんの頭を悩ませるニュースはそれだけではなく、あの悪名高いマルウェア「Emotet」が活動を再開したと報が入ってきています。JPCERT/CCだけでなく、警視庁やNHKの報道にもなっています。皆さんは気が付いたでしょうか。

　サイバー攻撃に向けた完璧なセキュリティ対策を講じることは不可能でしょう。しかし、それは何もしなくていいということではありません。私たちの戦略は、臆病であることを良しとし、少なくとも他の人よりも速く走ることを目指すこと。まずはそこから始めて徐々に対処のスピードを速くしていきましょう。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。