2014年はソフトウエア脆弱性への攻撃という脅威が身近に迫っていることを改めて実感させられる年になった。Internet Explorerに見つかった脆弱性、OpenSSLのバグに起因する「Heart Bleed」、UNIX系OSのコマンド実行環境に見つかった「ShellShock」――。企業システムで汎用的に使われているソフトウエア要素に、相次いで深刻な脆弱性が見つかった。しかしユーザー企業では、脆弱性管理の方策そのものがいまだ定まっていないのが実情だ。突然顕在化する脆弱性にどのように対処するべきか、考え方と方策を解説する。
ShellShockやHeart Bleedのような深刻なソフトウエア脆弱性が見つかったとき、企業はどのように対応できるだろうか。全社的な緊急対策本部を立ち上げるのか、それとも現場で対処するのか。公開セグメントの一時的な遮断や社内ネットワークの稼働の判断は誰が下すのか。現状では明確な判断基準を持たない企業が多い。特に企業のネットワーク担当者やシステム担当者など、セキュリティに詳しい人だけが対応に当たっていると、属人化した作業になってしまうリスクも加わる。
脆弱性に関する現況を確認しておこう(図1)。脅威レベルの高い脆弱性は、2007年をピークに件数は減少している。一方で、その中に含まれる「リモートから任意のコードが実行可能な脆弱性」の数は、2007年以降は横ばいであり、全体に占める割合が高まっている。2013年にはその割合は58%を超え、ここ数年は50%を上回って推移している。つまり、脆弱性が見つかったときには、5~6割の確率で即時攻撃される危険性があることになる。ソフトウエア脆弱性への対策の必然性が高まっていることが理解できるだろう。
図1●深刻度の高い脆弱性の比率は50%を超えている
出典:米国立標準技術研究所(NIST) National Vulnerability Database
[画像のクリックで拡大表示]
