こんにちは。先駆・情報システムチームです。 今回は、安⼼・安全なシステムを提供するための、先駆の取り組みについてご紹介します。
安⼼・安全なシステムを提供するための取り組み
先駆では、システムを安定化させ、お客様に安⼼してご利⽤いただくために、セキュリティ品質維持について以下の取り組みを進めております。
1. 情報収集
情報を収集することを⽬的としたチームを社内に作成しました。 ⼀部⾃動化したうえで、脆弱性情報の収集、現⾏システムのバージョン情報の収集・管理などを⾏っております。
2. 脆弱性診断
ツールによる⾃動診断、脆弱性を扱うデータベースをもとにした深刻度のリスト化などを⾏っています。
3. 結果報告
定期的に脆弱性レポートをメールにてお知らせする保守プランをご⽤意しております。
4. 脆弱性対応
問題のあるシステムを早急にアップデートし、影響が発⽣していないかについても確認を⾏っております。
脆弱性とインシデント(incident)
セキュリティへの取り組みは、大きく分けると、「脆弱性」への対応と「インシデント」への対応に分類されます。
脆弱性とは
⼀つ以上の脅威によって付け込まれる可能性のある資産または管理策の弱点 (JIS Q 27000:2014 箇条 2.89)
「脆弱性」は、セキュリティホールとも呼ばれることもあります。 コンピュータソフトウェアの⽋陥として、 本来操作できないはずの操作ができてしまったり、⾒えるべきでない情報が第三者に⾒えてしまうような弱点のことを指します。
インシデント(incident)とは
望まない単独若しくは⼀連の情報セキュリティ事象,⼜は予期しない単独若しくは⼀連の情報セキュリティ事象であって,事業運営を危うくする確率及び情報セキュリティを脅かす確率が⾼いもの (JIS Q 27000:2014 箇条 2.36)
「インシデント」とは、特にセキュリティに関して使うとき、 事故などが発⽣するおそれのある事態を指します。
原因は、設計上のミスや⼈的な操作ミスによるものなど多岐にわたりますが、 上記で説明した脆弱性を起点とした情報漏洩などがインシデントにあたります。
脆弱性に早急に対応し、インシデントを未然に防ぐことが理想です。
脆弱性対策でコスト削減
OS、ミドルウェア、CMS等、身の回りにあるシステムには、⽇々新しい脆弱性が発⾒されています。
脆弱性を正しく把握し、インシデント発⽣時の影響を予測したうえで、 着実に脆弱性への対策をしていくことで、 結果的にインシデント発⽣を未然に防ぐことができ、 インシデント発生によるコストを最小化し、 セキュリティ対策に関する費用を最適化できます。
先駆では定期的に脆弱性の情報を収集しております。
脆弱性データベースやセキュリティ関連サイトからの情報、 システム配布元のバージョンアップ情報などの収集のほか、 お客様に安定したシステムを提供するため、以下のことを実施しています。
- 24 時間サーバー監視システムの導⼊
- 脆弱性⾃動診断を毎⽇実⾏(⼀部のCMS)
- ⼈の⼿による定期的なシステムの確認
- 専⾨エンジニアによるトラブル対応
バージョンアップへの対応
適切なバージョンアップを⾏っていないシステムを運⽤し続けると、 悪意のある攻撃者による情報漏洩やシステムダウンなど、 そのシステムを利⽤している⼈に損害を与える可能性があります。
そういったインシデントを未然に防ぐ為にも、 常に最新のバージョンを維持することがセキュリティ対策のひとつとなります。
OS・ミドルウェア
古くなり、サポートが切れたOSを使⽤し続けると、 新たに発⾒された脆弱性への対策が⾏えない場合があります。
サーバーで使⽤されているOSの場合、 基本的には、4〜5年ほどでOS配布元のサポート期限が切れ、 次のバージョンに移⾏する必要が発生します。
また、古い環境を継続して使⽤するよりも、 新しい環境へ移設することでサーバーのスペックがあがり、 ランニングコストの削減にも繋がります。
OS やミドルウェアのバージョンアップに伴うシステム改修など、 サーバーリプレイスやリファクタリング作業は弊社も得意としているところであります。 最新の環境に移⾏を検討されていましたらお気軽にお問合せ下さい。
CMS・プラグイン
ウェブサイトを運用する際に、WordPressなどのCMSやプラグインを使用されている方も多いかと存じます。 特に広く使われるCMSやプラグインでは、 あらかじめ悪意のある攻撃者も準備をしています。
ウェブサイトは誰でもアクセス可能な性質上、標的になりやすく、 新たに⾒つかった脆弱性を利⽤して、 ネットワークの広範囲にわたって無差別な攻撃を仕掛けるキャンペーンが⾏われ、 システムを乗っ取るまでの⼿順が仕組化されやすいです。
システムを乗っ取られた場合 ウェブサイトの改ざんにより、閲覧した一般の利用者に対して以下のような被害が出ることが想定されます。
- 広告やクレジットカード情報などを盗む⽬的で作られた偽サイトへの転送
- 個⼈情報収集のプログラム(マルウェア)の埋め込み
また、対策がされていないウェブサイトを開設しているだけでも、以下のような被害が運用者に対して発⽣することが想定されます。
- 仮想通貨の発掘⽤プログラムを設置され、サーバーのリソースを過剰に消費することで、莫⼤な請求が発⽣
- 迷惑メールの踏み台となり、ホスティング業者などから警告され、使用が制限される
脆弱性を放置することで、悪意のある攻撃者にそういった⽷⼝を提供することになります。 制作を⾏ったあと、ウェブサイトの保守を⾏わずに放置するのは非常に⼤きなリスクになります。 しっかりとした保守を行い、アップデートしていくことで、そうした被害を未然に防ぎましょう。
脆弱性に対する弊社の評価の仕⽅
先駆では、独⽴⾏政法⼈情報処理推進機構(IPA)などが運営している、 「脆弱性対策情報データベース(以下 JVNDB)」を主に参照し、 JVNDBで使⽤されている「共通脆弱性評価システム(CVSS)」の評価結果、 および、CVSS基本値の評価内容をもとに、 脆弱性の深刻度、対策の優先度を設定しています。
参照 脆弱性対策情報データベース:https://jvndb.jvn.jp/index.html 共通脆弱性評価システム:https://www.ipa.go.jp/security/vuln/CVSS.html
CVSS v3の深刻度についての表
| 深刻度 | CVSS評価値 |
|---|---|
| 緊急 | 9.0 〜 10.0 |
| 重要 | 7.0 〜 8.9 |
| 警告 | 4.0 〜 6.9 |
| 注意 | 0.1 〜 3.9 |
| なし | 0 |
セキュリティに関する保守としては、 メールで診断レポートを送付するプランや、 対応までを含んだセキュリティ対策に特化したプランなど、 ご状況に合わせてさまざま⽤意しておりますので、 お気軽にお問合せ下さい。