前回は、ネットワーク脆弱性検査の基礎知識と、ネットワーク脆弱性スキャナーの「Nessus」で既にサポートが終了しているWindows Server 2003およびWindows XPを検査した結果を紹介しました。今回は、サポートが提供されているWindowsの最新OSをNessusで検査すると、どのような結果になるかを見ていきたいと思います。
Windows Server 2012のスキャン結果
Windows OSでは、定期的または不定期にマイクロソフトにより提供される更新プログラムを、Windows UpdateやMicrosoft Updateを通じて適用できます。更新プログラムの適用をしばらく停止すれば、その間に提供される更新プログラムにより修正される脆弱性は残ったままになります。
ここではまず、Windows Server 2012をインストールしたPCを用意し、2015年8月3日に最後のWindows Updateを実行して、その後は原稿執筆時点(2015年9月末)までWindows Updateを実行しませんでした。つまり1カ月以上、更新プログラムを適用しなかったことになります。この状態で、Nessusによる脆弱性スキャンを実行しました。この脆弱性スキャンを終えたあと、今度は利用可能な最新の更新プログラムを全て適用し、再度Nessusによる脆弱性スキャンを行いました。結果を図1に示しました。
更新プログラム適用の前後で比較すると、Highのプライオリティの脆弱性が9件から0件、Mediumは6件から1件と明らかに減少しています。Lowはいずれも1件で、変化がありませんでした。
Windows UpdateによりNessusが検出しなくなったイベントは、基本的には8月~9月に提供された更新プログラムが適用されていないことを警告するものでした。具体的には、まず累積的なセキュリティ更新プログラムが2件。それから、定例外パッチが1件公開されたInternet Explorerをはじめとして、Windows Graphicsコンポーネントの脆弱性を解消する更新プログラムが2件。ほかに、リモートデスクトッププロトコルや.NET Frameworkの脆弱性などを解消するパッチなど、様々な脆弱性に対するものが含まれています。改めて、更新プログラムの適用が重要であることが分かりました。