脆弱性対策をしていればサイバー攻撃の85%は防ぐことが可能
企業経営をも脅かすサイバー攻撃。その勢いは一向に収まる気配を見せない。昨年も多くの企業や団体が大規模なサイバー攻撃の脅威にさらされた。世界中で猛威を振るったランサムウエア「WannaCry(ワナクライ)」はその1つ。この攻撃は企業の重要ファイルを暗号化して読み取れない状況にし、元に戻してほしければ身代金を払えと要求する悪質性が特徴で、世界150カ国で30万台以上の被害があった。
JavaのWebアプリケーションフレームワーク「Apache Struts2」の脆弱性を狙った攻撃も多発した。企業のWebサーバーからシステムに不正に侵入し、様々な企業や公的機関が所持する膨大な個人情報やカード情報を窃取する被害が報告された。
これらの攻撃の共通点、それは、既に公表されていた「脆弱性」を狙った点にある。
脆弱性とは、OSやアプリケーションなどの欠陥、設計段階の見落としなどによる仕様上の問題点を指す。攻撃者は、その脆弱性を突いて外部から企業のシステムに侵入し、様々な被害を与える。
脆弱性は日々公表されており、それを突いた攻撃は成功しやすい。一昔前までは、スキルの高い一部の攻撃者によるものだったが、最近は「攻撃ツール」が闇市場で出回っており、誰でも簡単に攻撃ができる時代だ。
このような時代に、企業はどう対処すべきなのか?―――解決策は非常にシンプルで、脆弱性をふさぐセキュリティパッチ(修正プログラム)を適用すればよいのだ。US-CERT(米国国土安全保障省の配下にある情報セキュリティ対策組織)の報告によれば、セキュリティパッチの適用で、なんと85%のサイバー攻撃が防げるという。
だが実際には、ここまで危険性が指摘されても脆弱性対策を十分にできていない企業も多い。ある日本有数のセキュリティ専門家は、「レベルの高い攻撃に目を奪われがちだが、日本企業の中には悪戯レベルの攻撃さえ防げていない」と嘆く。
もちろん企業側にも反論はあるだろう。脆弱性が公表されてからセキュリティパッチを適用するまでに、様々なプロセスが必要となるからだ。脆弱性対象の調査を行い、適用計画を立て、セキュリティパッチを検証し、バックアップも取得する必要がある。システム再起動を行うため関係部署への調整も行わなければならない。場合によっては、予算を新たに申請する必要もある。
こうした運用の問題の解決に向け、近年注目されているのが「仮想パッチ」という手法だ。次項以降で、その具体的なメリットや適用方法について紹介したい。