IT市場の拡大に伴い、サイバー攻撃が年々増加傾向にあることは言うまでもない。特に注視すべきは、ITシステム基盤 (アプリライブラリ、ミドルウェア、OSなど)の脆弱性を狙った攻撃だ。これは、IPA(情報処理推進機構)が発表した「情報セキュリティ10大脅威 2022」において、その半数を脆弱性関連の攻撃が占めたことからもうかがえる。脆弱性を狙った攻撃には、マルウェアの一種である「ランサムウェア」や、特定の企業や個人を狙った「標的型攻撃」、サプライチェーンの中でセキュリティ対策の不十分なところを足がかりに狙った組織に損害を与える「サプライチェーン攻撃」などさまざまなものがあり、日々、その手口は巧妙化している。こうした状況の今、企業はどのような対策を講じていけば良いのだろうか。

ITシステム基盤のセキュリティ対策は、外部からの侵入対策や脆弱性診断だけでは不十分だ。システム全体を網羅的に守るためには、ソフトウエアの脆弱性管理、そしてシステム開発において広く使われているOSSの脆弱性管理も不可欠となる。以下の資料では、そうした脆弱性管理における課題を整理するとともに、それらの課題を解決に導く脆弱性管理クラウド「yamory」についてまとめられている。本稿ではその一部を紹介したい。

ビジョナル・インキュベーション株式会社
・【サービス資料】脆弱性管理クラウドyamory
> > 資料ダウンロードはこちら

脆弱性管理における課題

ITシステム基盤 の脆弱性管理における主な課題としては、以下のようなものが挙げられる。

  • 脆弱性情報の収集・選別が困難
    脆弱性に関する情報サイトが多すぎるため、収集・整理するのに時間がかかる。また、どの脆弱性から対応すべきかという優先順位を判断する際には専門知識が必要となる。
  • 利用システムの可視化不足
    社内で利用しているシステムが多岐にわたり、管理が行き届かない。そのため、セキュリティ対策の対象にも挙がらない。
  • 情報共有が困難
    運用が属人化しがちで、組織間・チーム間で対策状況を共有・可視化する仕組みができていない。また、セキュリティレポートを作成する負荷が高い。

上記課題への対策に加え、OSSライセンス違反リスクの検知もできるのがyamoryだ。 yamoryは、従来、アプリライブラリやミドルウェア、OSといったレイヤーごとに複数のツールで行っていた脆弱性管理をyamoryのみで実現。加えて、事業部やサービスをまたいだ脆弱性の可視化・一元管理も可能なため、全社横断的に脆弱性の影響や対応状況などを把握することができる。

脆弱性データベースには、複数の脆弱性情報サイトや、OSSの公式サイト、GitHub、SNS/ブログなどから得た情報を基に、セキュリティアナリストが精査し、日次でデータを登録している。これにより、緊急性の高い脆弱性も早期に検知できるというわけだ。

その好例が、2021年に話題となった「Log4Shell」だろう。

Log4Shellは、「Apache Log4j(以下、Log4j)」において発見されたゼロデイ脆弱性だ。任意のコードをリモートで実行できてしまうことから、非常に深刻な脆弱性として注目を集めた。Log4Shellの存在は2021年12月10日の昼過ぎに報告されたが、yamoryでは当日の16時には脆弱性データベースに登録、いち早く検知可能な状態を整えたという。

資料では、yamoryのより具体的なサービスの仕組みや機能、管理画面のサンプル、事例、サポート体制などがまとめられている。進化するサイバー攻撃に立ち向かうために、セキュリティ担当者はぜひダウンロードの上、ご確認いただきたい。

ダウンロード資料のご案内

ビジョナル・インキュベーション株式会社
・【サービス資料】脆弱性管理クラウドyamory
> > 資料ダウンロードはこちら

[PR]提供:ビジョナル・インキュベーション株式会社