政府機関の「情報セキュリティ対策のための統一基準」に沿って、セキュリティホール対策をしっかり行いたいのだけど、時間がかかり過ぎて困っていませんでしょうか?また、標準的な指針がないので、どこまで調査や情報収集、対策をすればいいのか分からないということも発生してないでしょうか?
SIDfmによるこれらの問題の解決方法を解説します。
官公庁におけるシステム運用規準例
内閣官房情報セキュリティセンター、財務省、総務省等の「情報セキュリティ」に係るシステム運用のガイドラインの中に、セキュリティホールに対する情報の収集とパッチの適用に関する基準を定めて運用することが明記されております。
しかしながら、どれほどの公共機関が、明確な指針を持ってソフトウェア脆弱性のマネジメントを実施しているのでしょうか?これは、「運用」における問題だけでなく、情報セキュリティ責任者および情報システム責任者自体が、その時点時点での定量的な値としてシステムの脆弱度や脅威による影響、その緊急性を理解できていないことに因るものが大きいと思われます。
官公庁の情報システムの調達仕様書で定められている「システムに関連する脆弱性情報をタイムリーに入手し、そのパッチの適用を行うこと」が、ほとんどのケースでタイムリーに実施することが難しい理由は?
官公庁の情報システムにおいては、「定期的」に何らかの脆弱性への対策は行われているものと思いますが、しかし、現実のオペレーションには以下のような問題が存在しています。定期的セキュリティ保守が形骸化し、最も基本となる「パッチの適用と維持」が何の技術的な指針もなしに行われているのが現実です。
- 官公庁側のシステムの責任者自体が、現時点のシステムの脆弱度、脅威による影響度を把握できていない現実。
- システム保守を行う会社のエンジニアも、脆弱性情報はピンポイントで入手しているが、これを系統立てて関連脆弱性情報を整理できていない。また、システムの定量的な脆弱度、脅威による影響も把握できていない現実。
- システム保守会社が、的確に現在の情報システム資産がさらされている「脅威」や脆弱性の「度合い」を官公庁側に伝えることができていない現実。
- 「定期的」にセキュリティ保守を行うことが「形骸化」している現実。日々出現するセキュリティホールの危険度や脅威の影響が「定量的」に理解できていないこともその一因です。
官公庁の情報システムにおいて、こうした状況を放置しておいて良いものでしょうか?例えば、組織の Web サーバは、外部のセキュリティ脅威に最もさらされている典型的なシステムです。このシステムにセキュリティ脆弱性が、少なからず「ある」ことは理解していても、その脅威に対する影響が分からないために、明確な指示が出せない、そして対策が遅れてしまうことが大半と思われます。公共サービス行うサイトにおいては、対策までの時間差が大きな問題であるということも忘れがちな状況となっています。
SIDfm はこれらの課題を全て解決します
SIDfm は、セキュリティホール対策に掛る時間を10分の1に圧縮するソリューションを提供します。
使用しているソフトウェアをフィルタに登録して、情報収集の手間を削減
- フィルタに使用している「ソフトウェア」を登録しておくことで、面倒なセキュリティホール情報の抽出作業から開放されます。この「ソフトウェア」は、OS のレベルから、単体のアプリケーションのレベルまで個別に登録できますので、情報の選別がより細かく可能となります。
- 情報が一箇所に集まっているので、SIDfm だけを確認すれば十分です。
CVSS を利用して、セキュリティホールのリスク分析、定量的な判断で情報共有
- 世界標準のセキュリティホールの評価システム CVSS v2.0 のスコアを危険度の閾値としてフィルタへ登録可能です。
- CVSS という評価システムを利用することで、定量的に危険度を把握、機械的に判断することができます。この CVSS 指標値を組織のセキュリティ・ポリシーで定めることにより、それに応じたマネジメント運用が可能となります。定期的に保守を行う中にも、危険度の定量的判断により、より現実的なパッチ適用の運用が可能となります。
- CVSS 評価システムから、さらに「被害を受ける可能性のある脅威」が分かります。これは、「機密性への影響」、「保全性への影響」、「可用性への影響」の 3 分類で、セキュリティホールに潜在するその脅威に対する影響度が一目で分かります。この情報をリスク分析ページや CSV エクスポートにより、操作・加工することができます。
セキュリティホール情報をメールで受信して、タイムリーに情報をキャッチ
- フィルタのメール送信タイミングを(毎週・毎日・毎時間)から選んで、必要なタイミングで情報を受信できます。常に状況をウォッチできる環境を得ることができます。
- メールによる新着のお知らせで、定期的に Web をチェックする作業から開放します。
官公庁のセキュリティホール対策のガイドラインに準拠
- 官公庁の仕様に則った、標準的なセキュリティホール情報並びに対策のためのユーティリティを提供します。
レポート・作業記録も楽々
手間のかかるレポートや作業記録を強力にサポート
セキュリティホール一覧を CSV ファイルとしてエクスポートして、分析やレポート作成に利用できます。
- レポート作成用 Excel シートでレポートが作成できます。これは、定期的な保守報告書等に活用することができ、大幅な業務の効率化が可能です。
- 汎用的な CSV ファイルなので、再利用が簡単。作業記録や、チェックシートなどに利用できます。
さて、これだけの作業をエンジニア個々に行った場合のコストは?
以上のような「情報システム資産」毎に、ソフトウェアの脆弱性の管理、パッチの適用管理を定型的に行う場合、その処理フローが一連の流れとして対処できないため、個々のエンジニアにとっても、それ相当の作業オーバーヘッドが見込まれます。こうした作業は、すべて人件(作業)費に変わり、また、作業の効率も大きく低下しているのが現状でしょう。
そのコストは如何ほどかと考えた場合、単純に見込まれる作業量の人件費相当として見ればよいでしょう。一般的に言っても、複数のエンジニアが同様な作業を行っているとした場合、一年間に数百万円相当のコストが費やされているに等しいと思われます。
SIDfmを活用すれば、脆弱性情報の収集や管理作業を半自動化することができます。組織内の複数のエンジニアや管理者に脆弱性情報を共有できるため、例えば、官公庁等へのシステム保守を主に行っている会社にもご利用いただいております。