情報処理推進機構(IPA)は9月26日、脆弱性を悪用した攻撃の傾向を踏まえて、リスク分析や効果的な対策の考え方をまとめた「脆弱性を悪用する攻撃への効果的な対策についてのレポート」をWebサイトで公開した。

2013年は、CMSなどの脆弱性を悪用したWebサイト改ざんや、クライアントソフトの脆弱性を悪用したウイルス感染などの攻撃によって発生した情報漏えいなどの被害が社会問題化している。

脆弱性は、攻撃を受けない限り運用に問題ないとはいえ、情報システムが抱えるセキュリティ上のリスクとなっている。システム運用者やPCユーザーは、脆弱性を放置することの危険性を十分に認識し、迅速に適切な対策を講じることが重要であるとIPAは警告している。

ソフトウェアが内包している脆弱性には、攻撃に悪用されている危険度の高いものだけでなく、「攻撃発生の可能性が低いもの」「技術的な深刻度が低いもの」といった様々なタイプが存在する。

そのため、脆弱性対策は全てのソフトウェアに対して闇雲に行うのではなく、組織への被害を回避するために攻撃による影響やリスクを十分に把握した上で、最適な対策を実施することが重要であるという。

同レポートでは、対策の要否を判断するための脆弱性の絞り込みや、リスクを把握するための3つの要素「脆弱性の技術的特性」「攻撃状況」「組織への影響」を整理した上で、CVSS(Common Vulnerability Scoring System)を用いて脆弱性の危険度を多角的に評価する方法を解説している。

このほか、米国における脆弱性対策の自動化に向けた取組みの一環として開発された技術仕様である「SCAP」やIPAでのSCAP活用事例についても紹介している。

レポート全文については、IPAのWebサイトからダウンロードできる。