社内セキュリティ監査でシステム部門より自部門で管理しているサーバの脆弱性を指摘された。しかし、その脆弱性がどのような内容で、どのようなリスクがあり、どのように対処すべきかわからない。このようなケースに、SIDfmを活用し解決するまでを紹介します。
『先日実施したセキュリティ監査の結果を送ります。指摘事項については、適切に対処してください。詳細は添付ファイルを御覧ください。』システム部門からこんな内容と共に以下のファイルが添付されたメールが届いた。実は、この添付ファイルの内容は、先日システム部門がセキュリティ診断ツールを用いて実施したセキュリティ監査結果です。システム部門はこの監査結果を共に、各部門に対して各部門で管理しているサーバのセキュリティ対策を求めてきました。
OSやアプリケーションのセキュリティホールは、米国政府の支援を受けた非営利団体のMITRE社が採番している共通脆弱性識別子CVE(Common Vulnerabilities and Exposures)により一意に識別されます。ほとんどのセキュリティ診断ツールは、このCVE識別番号(CVE-ID)に対応しており、またSIDfmもこれに対応しています。CVE識別番号(CVE-ID)により、セキュリティ診断ツールが指摘したセキュリティホールとSIDfmのセキュリティホール情報を結びつけることができます。
まずは、レポートの中からCVE識別番号(CVE-ID)を見つけてください。
次に、SIDfmで、CVE識別番号(CVE-ID)を検索します。
SIDfmは、画面のヘッダ部分にCVE識別番号での検索窓を常時表示しています。検索窓は、CVE識別番号とSIDfmIDの検索に特化しているので、高速な検索が可能です。
CVE識別番号が複数のセキュリティホール情報に含まれる場合でも、一覧に表示されたセキュリティホールのタイトルから目的のコンテンツにたどり着けます。
次に、特定したセキュリティホールのリスク評価を行います。
SIDfmのコンテンツは、CVE識別番号にひも付けされた共通脆弱性評価システム CVSS(Common Vulnerability Scoring System)を採用しています。共通脆弱性評価システムCVSSは、ベンダーに依存しない情報システムの脆弱性に対するオープンで包括的、汎用的な評価手法です。共通脆弱性評価システムCVSSを用いると、共通の評価方法で脆弱性の深刻度を定量的に比較できるようになります。
SIDfmのセキュリティホール情報は、この共通脆弱性評価システム CVSSをその詳細まで分かりやすく表示しています。セキュリティ監査によって指摘された脆弱性が、どのようなリスクを抱えているかをひと目で評価できます。また同時に、セキュリティホールの内容が日本語で分かりやすくまとめられているので、セキュリティホールに対する理解が容易にスピーディに可能です。
セキュリティホールのリスク評価の結果、修正を行わなければならないセキュリティホールと判断したセキュリティホールを修正します。
SIDfmのセキュリティホール情報は、セキュリティが修正されたパッケージの情報やアプリケーションの情報をそれらへのリンクと共にまとめています(例外あり)。リンクがあるので、セキュリティが修正されたパッケージの情報やアプリケーションの情報へ迷うこと無く辿り着くことができます。
また、修正パッケージや修正プログラムを適用することなく、アプリケーションの設定やルータなどのネットワーク機器の設定による回避方法も記載していますので、修正パッケージや修正プログラムを適用できない際の暫定的な回避処置を取ることも可能です(例外あり)。