「政府機関等の対策基準策定のためのガイドライン」に適合する
脆弱性管理・運用ツール SIDfm VM
脆弱性の対策運用
2020.2.28
SIDfm VM による、ソフトウェアの脆弱性の検出から対策の優先付け、対策状況の可視化、パッチ適用管理までの運用の自動化を促進することにより、IT資産管理の自動化それによる迅速な脆弱性への対応が可能となります。こうした機能は、「政府機関等の情報セキュリティ対策のための統一基準(平成30年度版)」(以下、「政府統一基準」)における「6.2.1 ソフトウェアに関する脆弱性対策」の遵守事項に適合します。SIDfm VM を政府機関のシステムへの脆弱性管理・運用ツールとして利用することができます。
SIDfm VM は、2020年10月から運用開始予定のクラウド上の「政府共通プラットフォーム」に採用されました Amazon Web Services(AWS)にも、簡単にすぐに導入できます。SIDfm VM は、AWS 上で政府統一基準などに沿った「純国産」の脆弱性セキュリティ対策に準拠するツールとして使用できるだけでなく、パッチ対応等の「運用の自動化」も支援する機能を備えています。
「政府統一基準」で求められるソフトウェアの脆弱性対策
「政府統一基準」は、国内の政府機関が実施すべきセキュリティ対策の指針を示したものです。特にソフトウェアの脆弱性対策は、従来と較べて機能の高度化が求められております。また、その具体策として、「政府機関等の対策基準策定のためのガイドライン」(以下、「ガイドライン」)が示されています。
ソフトウェアの脆弱性対策については、「政府統一基準」P42 6.2.1項 ソフトウェアに関する脆弱性対策、並びに、「ガイドライン」P198 6.2.1項 ソフトウェアに関する脆弱性対策にて示されています。
「ガイドライン」にて求められている脆弱性対策は、適宜、脆弱性情報を入手し、対象となるシステムを特定し、対策計画を策定し、対策の実施状況を確認し、実施結果を記録すると言った、脆弱性対策の基本作業です。しかしながら、これらの作業を膨大な数のサーバやネットワーク機器などに対して、日々実施することは、ツール無しには不可能です。
SIDfm VM は、脆弱性管理のワークフローを提供し自動化による支援を行います。
SIDfm VM は「ガイドライン」で求められる脆弱性対策に適合します
SIDfm VM は、「ガイドライン」の「6.2.1 ソフトウェアに対する脆弱性対策」に対して、適合するための機能を提供します。
「6.2.1 ソフトウェアに対する脆弱性対策」 【遵守事項】への適合
遵守事項(1)(a)
『情報システムセキュリティ責任者は、サーバ装置、端末及び通信回線装置の設置又は運用開始時に、当該機器上で利用するソフトウェアに関連する公開された脆弱性についての対策を実施すること。』
SIDfm VMによる対応
SIDfm VM へ機器の「利用するソフトウェア」を入力することによって、「利用するソフトウェアに関連する公開された脆弱性」をチェックできるようになります。 またチェックにより検出された脆弱性の日本語による詳細情報によって、情報収集にかかるコストを低減できます。
遵守事項(1)(c)
『情報システムセキュリティ責任者は、サーバ装置、端末及び通信回線装置上で利用するソフトウェアにおける脆弱性対策の状況を定期的に確認すること。』
SIDfm VMによる対応
現在の脆弱性対処状態をダッシュボードで確認できます。 またレポート作成のために対処の記録を JSON データとしてエクスポートできます。
遵守事項(1)(d)
『情報システムセキュリティ責任者は、脆弱性対策の状況の定期的な確認により、脆弱性対策が講じられていない状態が確認された場合並びにサーバ装置、端末及び通信回線装置上で利用するソフトウェアに関連する脆弱性情報を入手した場合には、セキュリティパッチの適用又はソフトウェアのバージョンアップ等による情報システムへの影響を考慮した上で、ソフトウェアに関する脆弱性対策計画を策定し、措置を講ずること。』
SIDfm VMによる対応
SIDfm VM へ登録されたホストの「利用するソフトウェア」に対して、新しい脆弱性のチェックを自動的に行います。 自動的な脆弱性の検出や脆弱性詳細情報、ホスト別・脆弱性別の表示などによって、対策計画の策定を強力に支援します。
「6.2.1 ソフトウェアに対する脆弱性対策」【基本対策事項】への適合
「ガイドライン」の「6.2.1 ソフトウェアに対する脆弱性対策」【基本対策事項】に対する SIDfm VM の対応状況です。一覧のリンクから詳細へ移動できます。
基本対策事項 | 対策概要 | SIDfm VM |
---|---|---|
6.2.1(1)-1 | 脆弱性情報の入手 | |
6.2.1(1)-2 | サポート終了製品の利用禁止 | |
6.2.1(1)-3 | 脆弱性の存在確認 | |
6.2.1(1)-4 | 定期的な脆弱性の確認 | |
6.2.1(1)-5 | 脆弱性対策計画策定 | |
6.2.1(1)-6 | 脆弱性対策実施状況の確認 | |
6.2.1(1)-7 | 脆弱性対策実施状況の記録 | |
6.2.1(1)-8 | 信用できる方法での対策ファイルの入手 |
6.2.1(1)-1 脆弱性情報の入手
『情報システムセキュリティ責任者は、対象となるソフトウェアの脆弱性に関して、以下を含む情報を適宜入手すること。
a) 脆弱性の原因
b) 影響範囲
c) 対策方法
d) 脆弱性を悪用する不正プログラムの流通状況』
SIDfm VMの対応
脆弱性の情報は、弊社発見から原則2営業日以内にデータベースに登録され、当該情報を常に入手できます。これが各システムのソフトウェア構成情報とのマッチングに利用されます。
6.2.1(1)-2 サポート終了製品の利用禁止
『情報システムセキュリティ責任者は、利用するソフトウェアはサポート期間を考慮して選定し、サポートが受けられないソフトウェアは利用しないこと。』
SIDfm VMの対応
SIDfm VM は、ベンダによるサポート期限の近い製品について、現在より3ヶ月前までに終了した製品と、現在より3ヶ月後に終了する製品を一覧表示します。 またサポート終了の情報を公開している製品については、可能な限り情報を収集し、ソフトウェアごとにまとめて閲覧できるようにしています。
6.2.1(1)-3 脆弱性のチェック
『情報システムセキュリティ責任者は、以下を例とする手段で脆弱性対策の状況を確認すること。
a) 構成要素ごとにソフトウェアのバージョン等を 把握し、当該ソフトウェアの脆弱性の有無を確認する。
b) 脆弱性診断を実施する。』
SIDfm VMの対応
SIDfm VM へ登録されたホストのソフトウェア情報を元に脆弱性データベースへ登録された脆弱性とマッチングを行い、影響の有無をチェックします。
6.2.1(1)-4 定期的な脆弱性の存在確認
『情報システムセキュリティ責任者は、脆弱性対策の状況を確認する間隔を、可能な範囲で短くすること。』
SIDfm VMの対応
SIDfm VM は、登録されたホストのソフトウェアと、新しく脆弱性データベースへ登録された脆弱性のマッチングを常に行います。 このため、SIDfm VM を使用している限り、常にほぼ最短で脆弱性の有無を確認できます。
6.2.1(1)-5 脆弱性対策計画の策定
『情報システムセキュリティ責任者は、ソフトウェアに関する脆弱性対策計画を策定する場合には、以下の事項について判断すること。
a) 対策の必要性
b) 対策方法。この際、自動でソフトウェアを更新する機能を有する IT 資産管理ソフトウェアを導入するなどにより、 効率的に脆弱性対策を実施する手法を予め決定すること
c) 対策方法が存在しないゼロデイと呼ばれる状態の場合又は対策が完了するまでの期間に対する一時的な回避方法
d) 対策方法又は回避方法が情報システムに与える影響
e) 対策の実施予定時期
f) 対策試験の必要性
g) 対策試験の方法
h) 対策試験の実施予定時期』
SIDfm VMの対応
SIDfm VM は、「対策の必要性」を判断するための「脆弱性の概要」や「危険性」、「対策計画」に必要な「対策方法」「回避方法」などの情報を脆弱性情報として提供します。 またそれぞれのホストに存在する脆弱性に対して、それぞれ対処予定や対処状況を記録することができます。
6.2.1(1)-6 脆弱性対策実施状況の確認
『情報システムセキュリティ責任者は、脆弱性対策が計画どおり実施されていることについて、実施予定時期の経過後、遅滞なく確認すること。』
SIDfm VMの対応
ホストに存在する脆弱性ごとに対処実施予定日を設定することができ、予定日の経過などに対して通知を行うことができます。 また、いつでもホストや脆弱性などの対処状況を確認することができます。
6.2.1(1)-7 脆弱性対策実施状況の記録
『情報システムセキュリティ責任者は、脆弱性対策を実施する場合には、少なくとも以下の事項を記録し、これらの事項のほかに必要事項があれば適宜記録すること。
a) 実施日
b) 実施内容
c) 実施者』
SIDfm VMの対応
SIDfm VM では、ホストに存在する脆弱性の状態を変更した際に、操作したユーザ、操作内容、日時を自動的に記録します。
6.2.1(1)-8 信頼できる方法による対策用ファイルの入手
『情報システムセキュリティ責任者は、セキュリティパッチ、バージョンアップソフトウェア等の脆弱性を解決するために利用されるファイル(以下「対策用ファイル」という。)は、信頼できる方法で入手すること。』
SIDfm VMの対応
SIDfm VM で提供する脆弱性情報は、「対策用ファイル」などの入手元として、製品ベンダの URL や一次情報の記載された URL など信頼できるソースを記載するようにしています。
脆弱性からの組織防衛のために
あなたの組織で脆弱性が対策されていることを確認できますか? 弊社の継続的脆弱性管理ツール SIDfm VM は、管理対象のホストで使用するソフトウェアで新しく報告された脆弱性のピックアップを行い、影響判定や対策工程の把握まで、脆弱性管理をトータルでカバーいたします。
脆弱性の調査やパッチ探しは一切不要!
脆弱性対策を自動化できるので工数大幅削減!
さらに自社の脆弱性状況を全て可視化できるので
管理がグッと楽になる!
それらを全て実現するサービスがあります。
脆弱性管理ツール「SIDfm VM」について詳しくはこちらから