ソフトウエアには、必ず脆弱性(セキュリティ上の欠陥)が存在する。人が作るものである以上、それは避けられない。特に、ソフトウエアの高機能化が進み、そのプログラムが巨大かつ複雑になっている現状では、脆弱性が発見されることは“当たり前”、と言っても過言ではないだろう。
ユーザーや企業のセキュリティ担当者として重要なのは、慌てることなく、パッチ(セキュリティ更新プログラム)の適用やバージョンアップなどを実施して脆弱性を解消することだ。
問題は、ベンダーがパッチなどを提供する前に発覚した「ゼロデイ脆弱性」への対応である。2014年4月末に見つかったInternet Explorer(IE)のゼロデイ脆弱性にまつわる“騒動”は記憶に新しい(関連記事:IEに見つかった「ゼロデイ脆弱性」、“タイミング”と“誤解”で騒ぎ拡大)。
ゼロデイ脆弱性が見つかった場合には、
(1)脆弱性情報の収集
(2)影響範囲の特定
(3)回避策の実施
この三つを実施することが不可欠。本稿では、先日の“騒動”と同様に、IEなどのクライアント製品にゼロデイ脆弱性が見つかった場合を想定し、具体的な手順を考えてみたい。
ベンダーやセキュリティ組織の情報を確認
報道などでゼロデイ脆弱性の存在を知ったら、まずは一次情報を確認する。該当製品のベンダーのWebサイトにアクセスして情報を入手することが重要だ。
前述したIEのゼロデイ脆弱性が発見された時は、テレビなどの報道だけを基に脆弱性の危険度を判断し、IEの使用を禁止したり、ネットへのアクセスを制限したりした企業が相次いだといわれるが、これはいい方法とは言えない。
例えば、日本マイクロソフトの製品にゼロデイ脆弱性が見つかった場合、同社では「セキュリティアドバイザリ」という情報を、パッチに先駆けて提供している(画面1)。パッチはプログラムであり、作成や検証には時間がかかかる。そこで、脆弱性の概要や「回避策」をまとめた情報を、セキュリティアドバイザリとして提供するわけだ(回避策については後述)。
