サイバーセキュリティに関するリスクがますます高まっていく中で、企業をはじめとした多くの組織において、システム運用上の脆弱性管理の重要性も高まっている。
利用しているOSやソフトウェア、ネットワーク製品などの脆弱性は、恒常的に監視を行い、脆弱性が検出されれば迅速に対処することは、システムを運用する組織としては必須であるが、現実には適切な管理・運用がなされていないことが多い。
システム担当者の業務が多忙であったり、そもそもの人材不足が大きな要因であるが、そうした問題を解消するのが脆弱性管理ツールだ。マネージドサービスと脆弱性管理ツールを組み合わせて活用できれば、さらにセキュリティを強化しつつ、業務自体の効率化を図ることも可能となる。
そこで本稿では、株式会社イーツの技術運用部 サービス企画開発課の切澤 尚平と、朝香 維真に、マネージドサービスと脆弱性管理ツールの活用について話を聞いた。
システム運用における脆弱性管理の重要性
――システム運用における脆弱性管理の重要性についてお教えください。
朝香 脆弱性管理というのは、システムやソフトウェアなどについてのサイバーセキュリティ上の弱点などを発見(検出)し、その弱点がどの程度の脅威になり得るのかを評価して優先順位を付け、必要な対処を実行する一連の管理プロセスのことをいいます。端的にいえば、システムをセキュリティ被害から守るための一連の活動といえます。
切澤 実はセキュリティ被害の多くは、その原因がOSやソフトウェアの脆弱性に関係するものであるといわれています。つまり、システム運用においては、OSやソフトウェアについてしっかりとした脆弱性管理を行うことが重要だということになります。
具体的には、そうした脆弱性に対して、きちんとパッチを適用するといった運用で対応できていれば多くのセキュリティ被害は回避できるということです。ところが実際には、それが後回しになってしまい、そのまま放置されてしまうというケースが少なくありません。
パッチの適用を適切にできない理由としては、いくつかのものが挙げられます。ひとつには、システム担当者の業務多忙や、人材不足などが原因で、脆弱性情報の収集や、最適なパッチを探すこと自体が時間的に難しいという問題があります。脆弱性情報の収集ということでいえば、たとえばCVE情報やJVN、JPCERT/CCといった情報源を定期的に確認することが必要で、そうした手間だけでも相当な負荷となります。またふたつめには、使用しているOSやソフトウェアなどによっては脆弱性情報が英語でしか入手できないため、正確に把握することが難しいということも挙げられます。
脆弱性管理を効率化するツールの有効性
――人的な対応が難しいとなれば、ツールなどによって適切に脆弱性管理を実施することが必要になりますか。
朝香 そうですね。自社の状況にマッチした脆弱性管理ツールを活用することで、人手不足などに対応する必要が生じます。
また一口に脆弱性管理ツールといっても、さまざまなものがあります。たとえばWebアプリケーションの脆弱性を検出するツールや、ファイヤーウォールの設定やオープンポートでの脆弱性を検出するネットワークスキャン型のツールなどがあります。そうしたツールの中から、自社に必要なツールを選定し、適切に導入・運用していくことになります。
切澤 具体的に脆弱性管理ツールの導入を検討するにあたっては、まずはシステム関連組織の態様を確認することが重要です。システム部門の人員規模や、各担当の役割分担といった人員体制に加えて、運用しているシステムの規模感や、運用環境といったものを整理したりする必要もあります。
その上で、現時点でのセキュリティ対応状況を洗い出し、脆弱性についての判断基準や対応方法といったものがどう規定されているのかを確認します。たとえば、脆弱性についてのチェックをどのくらいのスパンで実施するのかというルールや、何らかの脆弱性が検出された場合には何日以内に対応を済ませなければならないといったルールです。
企業によって取り組みは千差万別です。脆弱性についての判断基準や対応などをきちんとルール化できている企業もあれば、そうしたルール化をしていない企業もあります。もし、きちんとしたルール化がなされていないのなら、まずはそこを整備することで、脆弱性管理の体制を整え、その上でツールの導入を検討するという流れになります。
朝香 また、脆弱性管理ツールの導入にあたっては、予算を明確にすることも大事なポイントになります。
マネージドサービスと脆弱性管理ツールをセットで活用できるメリット
――Maru Opeに、脆弱性管理ツール「SIDfm」が使えるオプションが追加されたと伺いました。
朝香 イーツのMaru Opeは、ハイブリッドクラウド運用サービスとして多くの企業に導入いただいています。マルチなクラウド環境におけるシステム監視サービスをワンストップで実現できるという点を高くご評価いただいています。
またイーツでは、24時間・365日の監視体制はもとより、予め定めておいた手順に沿った迅速な復旧作業の遂行まで、トータルなマネージドサービスを提供します。
そして、そのMaru Opeに、脆弱性管理ツール「SIDfm」を利用できるオプションが、このたび追加されました。このオプションを活用することによって、ホストやシステムの監視と、その運用を一体化することができるようになり、セキュリティ製品の導入や運用自体の効率化も図ることが可能になります。Maru Opeを軸にしたマネージドサービスと、脆弱性管理ツール「SIDfm」をセットで利用することで、企業のセキュリティ体制はより強化できると、イーツでは考えています。
イーツのマネージドサービスの詳細については、以下の記事で紹介しています。ぜひ、ご覧ください。
「Maru Ope 脆弱性管理ツール Powered by SIDfm」の優位性
――「SIDfm」自体の特徴・優位性はどんなところにありますか。
切澤 「SIDfm」は、予め登録したOSやアプリケーション、ネットワーク製品などの脆弱性情報を世界中から自動で収集・蓄積するツールで、膨大な情報の中から、自社に必要な情報だけを特定して提供してくれますので、担当者の負荷を大幅に軽減することができます。
また「SIDfm」では、共通脆弱性評価システム CVSSを採用しているので、個々のセキュリティホールなどの脆弱度と影響度を的確に評価し、対処の優先順位付けなども自動で行われます。
もし、脆弱性情報について不明点などが生じた場合でも、専任のセキュリティコンサルタントが対応するヘルプデスクを通じてサポートを受けることが可能なので、不明点や困りごとをスピーディに解消できる点も大きなメリットです。
さらに「SIDfm」には脆弱性についての対処の進捗情報を記録したり管理したりする機能が備わっており、組織内で一元的に管理できます。「SIDfm」には専用のダッシュボードが用意されていますので、管理担当者は一目で状況を把握することが可能です。
また脆弱性が検出された際に、担当者にメールで通知する機能も備わっており、いつでもどこでも脆弱性についてのリスクを把握することができ、迅速な対処が可能となります。
朝香 さらに、あとふたつ、「SIDfm」には大きな特徴があります。
ひとつは、「SIDfm」は最低利用台数などの縛りがなく、1台からでも利用できるということ、加えて利用期間についても年間契約といった縛りがなく、最低1か月からの利用が可能だという点です。通常こうしたツールの多くは、最低利用台数が数台・数十台と決められていたり、利用契約期間は最低でも1年以上といった縛りがあります。そうした縛りがなく、柔軟な利用ができるという点が、「SIDfm」の特徴のひとつといえます。
そしてふたつめの特徴が、「SIDfm」の利用にあたっては、利用者側で管理サーバなどを用意する必要がないという点です。イーツ側で環境を構築しており、利用者側はそれを利用するだけなので、導入にあたっても、わざわざ管理サーバを建てる必要がなく、手間がかかりません。「SIDfm」を使いたい時に、すぐにでも利用を開始できる点も大きな特徴です。
切澤、朝香両名がいうように、脆弱性管理ツールとしての「SIDfm」は脆弱性管理業務の効率化・省力化に大きく寄与し得るツールだといえる。
その有益な脆弱性管理ツールが、Maru Opeを軸とするイーツのマネージドサービスとセットで活用できる点が、何よりもセキュリティ体制の強化と関連業務の効率化に資するものであることは間違いない。
お役立ち資料ダウンロード
本記事に関連するマネージドサービス関連の資料をダウンロードいただけます