○狙われやすいソフトウェアの脆弱性

前回 はIT資産管理におけるソフトウェア管理の位置付けについて説明するとともに、ソフトウェア管理の中でもアプリケーションの種類の管理と制御について紹介した。第五回目となる今回は、ソフトウェア管理における脆弱性の管理について詳しく解説することにしよう。

まずソフトウェアの脆弱性管理の基本となるのが、OSやミドルウェア、アプリケーション、それにウイルス定義ファイル等を常に最新の状態にしておくことである。なぜその必要があるのかというと、ウイルスやサイバー攻撃の手法として圧倒的に多いのが、ソフトウェアの脆弱性を悪用したものだからだ。セキュリティベンダーなどにより一般に公開された脆弱性というのは、攻撃者にとって最も狙いやすいもの。だからこそ、脆弱性を解消するセキュリティパッチが配布されたらいち早く適用しなければならないのである。

そして数あるソフトウェアのなかでも特に注意が必要なのが、JavaやAdobe Reader、Adobe Flash Playerといった基本的なソフトウェアとブラウザ類である。脆弱性というとまず思い浮かぶのはOSかもしれないが、実はOSの脆弱性については過去の数々の教訓から対策が進んだこともあり、以前ほどは狙われにくくなっていると言われている。とはいえ、アップデートを確実に実施する必要があることは言うまでもないが……。

一方、JavaやAdobe Reader、Adobe Flash Playerなどの場合、大抵のPCにインストールされているにもかかわらず、OSほどには更新やパッチ適用が迅速に行われずセキュリティ対策が進んでいないのではないだろうか。そのため攻撃者側からも、攻撃成功率の高い"格好の標的"とみなされていると思われる。

それゆえ、IT管理者としては、社内のユーザーに対して各自のクライアントPCに入っているソフトウェアのアップデートを必ず行うよう呼びかけることになるわけだが、実際のところすべての社員にそれを守らせるというのは非常に難しい。忙しい業務の最中、PCの画面に「いますぐ更新してください」というアラートが出現した際に、そのままキャンセルしてしまったという経験は誰にでもあるはずだ。さらに、ほとんどの社員がしっかりと決まりを守ったとしても、1人でも守らない社員がいれば、その人のPCがウイルスなどに感染して社内全体に拡がってしまうことになりかねない。「最低のセキュリティレベルが全体のセキュリティレベルを決める」というのは、セキュリティの基本中の基本なのだ。

そうなってくると、IT管理者が社内のPCのパッチ適用状況を把握せねばならなくなる。しかし、すべてのPCを1台ずつ手作業で確認していたら途方もない時間と手間がかかってしまうことだろう。それに人手で確認する以上、うっかり見逃してしまうといったミスはどうしても避けられない。

○社内のPCの脆弱性を自動的に把握するツールも登場

そこで求められるのが、IT資産管理ツールである。IT資産管理ツールを使えば、社内のどのPCに何のソフトウェアのどのバージョンが入っているかといった情報を自動的に集約し、一覧として確認することができるようになるのだ。ニュースなどで深刻度の高い脆弱性が報告されていたら、対象となるソフトウェアを検索してバージョンを確認する。そこで脆弱性のあるバージョンのソフトウェアが使われていることが判明した場合には、最新のパッチ等が配布されているかを調べ、配布されていれば急遽、全社にアップデートを呼びかけるようにするのである。

これだけでも、IT資産管理ツールを使わなかった頃の状況と比べ格段に全社のセキュリティレベルが向上するはずである。しかし昨今の脅威の動向を鑑みれば、IT資産管理ツールを活用する際にもう1つ気をつけておきたいことがある。

前回も説明したように、企業のPC1台には平均して2000以上ものソフトウェアが存在していると言われている。それに伴い、脆弱性の有無を確認しなければならないソフトウェアの種類も日に日に増えているのだ。さらに、これに関連して、脆弱性が報告される頻度も高くなってきている。例えばIPA(情報処理推進機構)が発表している脆弱性対策情報を見れば、ほぼ毎日のように何らかのソフトウェアの脆弱性が警告されていることがわかるはずだ。

これだけ煩雑な状況になってくると、IT資産管理ツールで情報を把握しつつも、ソフトウェアの脆弱性を自動的に発見して最新のパッチ適用を支援してくれるようなツールもまた欲しいところだ。既にそうしたソリューションは提供されており、クライアントの脆弱性を自動で検出するクラウドサービスを提供するクオリティソフトの「ISM CloudOne」が該当する。「ISM CloudOne」は、毎日更新される「セキュリティ辞書」にもとづいて、セキュリティパッチの未適用など脆弱性のある端末をリストアップし、レポートを生成する。またグローバル企業では海外の拠点ごとに異なるウイルス対策ソフトを使用しているケースが多いが、「セキュリティ辞書」は多数のウイルス対策ソフトに対応しており、しかも同一製品であっても検知エンジンのバージョンや言語の種類まで含めて脆弱性の自動診断が可能となっている。

攻撃手法がますます複雑化、高度化していくなか、これからの企業のセキュリティのあり方を考えるならば、「ISM CloudOne」のようなIT資産管理ツールを選択することが最適解となると言っていいだろう。そして煩雑な作業から解放されたIT管理者には、より戦略的なIT活用にリソースを注いでもらいたい。

今回は、ソフトウェア管理におけるソフトウェアの脆弱性管理について紹介した。次回は、ソフトウェアのライセンス管理の重要性について言及することとしたい。