脆弱性の影響を見極める
システム管理のつぼ(2017年10月号)
ソリューション開発部 丸吉 祐也
10月5日に「Optionsbleed」という脆弱性に対応したapacheがリリースされました。2014年に公開されたOpenSSLの「HeartBleed」をきっかけに、大きな問題には名前が付く傾向があります。 このような大きな問題は必ずしも早急に対応すべきとは限りません。問題の内容を理解した上で適切な対応をする必要があります。
今回は脆弱性の影響を判断するポイントについて解説をします。
影響を受けるバージョンを導入しているか
脆弱性の情報の中に影響を受けるソフトウェアのバージョンが記載されています。多くの場合、最新バージョンより前のバージョンすべてが影響を受けますが、特定のバージョンしか影響を受けない問題もあります。 そのため現システムにどのバージョンのソフトウェアが導入されているのか把握し、それと照らし合わせて確認をする必要があります。
外部ネットワークから攻撃をうける問題か
どこのネットワークからでもアクセスができるサーバと、内部ネットワークからしかアクセスができないサーバでは、影響を受ける可能性が違います。どこからでもアクセスができるサーバの方が影響を受ける可能性が高いため早急に対応をする必要があります。
外部から接続ができないからといって安心とは限りません。連携をしている他のサーバや内部のPCを経由して影響を受けることも考えられるので、できる限り対策をすることをお勧めします。
問題となっている機能を使っているか
apacheの「Optionsbleed」の場合「.htaccess」を処理をする際に問題が発生します。そのため「.htaccess」を許可してない場合は、影響を受ける可能性は低いと考えられます。問題が発生するためにはいくつかの条件があり、その条件に当てはまるのかどうかは、影響度や緊急度を見極めるための重要なポイントです。 今後「.htaccess」を許可するように設定を変更する可能性もあります。変更をする時に「Optionsbleed」の問題を思い出すのは難しいと思いますので、今後の予防として対策をしておくのも非常に有益なことです。
デージーネットでは、管理しているシステムのソフトウェアバージョンや設定内容を資料で管理しています。そして脆弱性の内容を正しく理解し、現在の設定と照らし合わせながら脆弱性の影響を判断しています。システムに合わせて適切なタイミングで適切な対応をすることで、最小限のコストでシステムを安全な状態に保つことができると考えています。