~ソフトウェアにセキュリティホールが見つかった~システム管理者が取る行動とは
システム管理のつぼ(2016年2月号)
システム設計部 松崎 元昭
システムで利用しているソフトウェアは、日常的にセキュリティホール(以下「脆弱性」)の発見と修正が行われています。システム管理者(以下「管理者」)は、脆弱性に対して必要十分な対応が求められます。
利用しているソフトウェアに脆弱性が見つかった時に管理者が取る行動は、概ね次の通りです。
- 見つかった脆弱性の影響度、緊急度を評価する
- 対応方法を検討する
- 具体的に対策を実施する
利用しているソフトウェアに脆弱性が見つかった場合、その影響度、緊急度を評価します。概ね、次に該当するものは影響度、緊急度が高いと評価します。
- 多くのソフトウェアから共有されている(影響度高)
- サービスに利用している(影響度高)
- リモート攻撃を受ける可能性がある(緊急度高)
- 攻撃方法が公開されている、もしくは比較的簡単に攻撃できる(緊急度高)
なお、よく誤解されているのが、たとえばWebサーバで利用されるPHPなどで、特定の機能を利用している場合に脆弱性の影響を受ける、といったものへの必要性の評価です。現在のコンテンツプログラムでは該当の機能を利用していない場合であっても、将来的に該当の機能を利用する可能性もあります。管理者はこういった脆弱性に対し、緊急度が低いが影響度は高いため「必要があり」と判断します。
対策が必要と判断した場合、具体的な対応方法を検討します。対策は、脆弱性を取り去ることを大前提とした上で、できるだけサービスへの影響を小さくする方法が求められます。設定変更で回避できる場合、そちらの方法を採ると判断する場合もあります。
対策作業を完了するために、システムやサービスの再起動を必要とする場合もあります。サービスに与える影響度により、実施する時間帯を考慮したり、サービス停止の告知をした上で実施するなど、作業計画を立てるのも管理者の仕事です。
このように、脆弱性が見つかった場合、管理者はシステムを安全に運用するために数々の判断や対応が求められます。デージーネットでは、導入後支援でソフトウェアのセキュリティ情報とその対応方法の案内、また対策の要否判断および実施も行っています。
セキュリティ上の脅威に対して迅速に対応できるよう、常日頃から脆弱性が見つかった場合の対応フローを用意しておくことが大切です。既にフローが出来上がっている場合でも、判断する観点などもう一度見直してみてはいかがでしょうか。