悪用された脆弱性の99.9％が公開から1年以上　いかに現場が追いついていないか

　「ITシステムの情報セキュリティ対策を考えるうえで、脆弱性の管理と対策は外すことができない課題です」と、システムマネジメントサービスやヘルプデスクサービスを展開するフェスの鈴木浩一氏は指摘する。鈴木氏はデータセンター運用を経験した後、新規運用立ち上げや運用支援サービスなど運用に関する経験が長い。

　「脆弱性」はソフトウェアやシステム上の欠陥で、セキュリティホールとも呼ばれる。脆弱性が見つかると、攻撃者から見れば侵入の裏口が見つかったようなものだ。サイバー攻撃の第一段階は脆弱性を足がかりにしたシステムへの潜入から始まることが多い。潜入を許すと、攻撃は徐々に次の段階へと進んでしまう。

　脆弱性が公表されると修正パッチが提供されるものの、その頻度も量も種類も多い。システム運用の現場はすぐにパッチを適用するほど余裕がないのが実状だ。優先度が高いパッチを処理するので精いっぱいというところだろう。

　ベライゾンジャパン「2015年度データ漏えい／侵害調査報告書」によると「悪用された脆弱性の99.9％がCVE（Common Vulnerabilities and Exposures：共通脆弱性識別子）公開後1年以上経過したもの」という指摘がある。現場としては好きで放置しているわけではないものの、パッチ適用する前に攻撃されてしまう。

　脆弱性対策を甘く見てはいけない。2017年に世界中を震撼させたランサムウェア「WannaCry」は既知の脆弱性を狙う攻撃だった。パッチの適用を見送っていた企業がことごとく被害を受けた。さらに同年にはアメリカの消費者信用会社Equifaxから1億4,500万人以上もの個人情報が流出する事態が発生した。ここではApache Strutsに関する既知の脆弱性が攻撃に悪用された。どちらもパッチを早めに適用していれば大きな被害を招くことはなかったのだが。

　実際の運用に目を向けると、パッチ適用を徹底するのは難しい。原因の1つに環境の多様化がある。最近の調査によると、ユーザー環境のOSシェアはいまだにWindowsがトップを占めるものの、Mac OSやLinuxなどWindows以外が12％を占める。

　Windows以外にも目を向ける必要がある。またブラウザはChromeとFirefoxの合計が75％となり、主流はIE以外になっている。近年ではAcrobat DCなどマイクロソフト製品以外で脆弱性が検出されることも増えてきている。