「政府機関の情報セキュリティ対策のための統一基準」は、官公庁、独立行政法人等を含めた組織における、セキュリティ対策の指針となっております。その中で、「セキュリティホールの対策」に関する基本遵守事項の作業内容に準拠した「支援サービス」を探しています。こうしたサービスは今まで日本になかったのですが、SIDfm サービスはこの対策ガイドラインに準拠した内容でしょうか?
SIDfmは、「情報セキュリティ対策のための統一基準」に準拠します!
2009年2月に決定された内閣官房情報セキュリティセンターから入手できる「政府機関の情報セキュリティ対策のための統一基準(第 4 版) 」(政府機関統一基準K303-081版ベース)は、政府機関が行うべき情報システムのセキュリティ対策のガイドラインを定義したものです。現在の政府機関のシステムでは、このガイドラインに則った対策を講じることが求められております。実際のセキュリティ対策の実務は、このシステムを提供・保守するサービス事業者が行うことがほとんどですが、SIDfm は、こうした事業者に最適なセキュリティホール対策ソリューションを提供します。このページでは、セキュリティホール対策に関する「統一基準」のガイドラインに、SIDfm機能とその作業フローが準拠していることを順番に説明します。
上記の「統一基準(第4版)」におけるセキュリティホール対策に関するガイドラインは、P.55~56「2.1.2 情報セキュリティについての脅威」「2.1.2.1 セキュリティホール対策」に明記されております。ここでは、この中の遵守事項の各項目に対して適用可能な SIDfm の機能をご説明します。
SIDfm を使った実際のセキュリティホール対策と作業フロー
遵守事項
(1) 情報システムの構築時
【基本遵守事項】
- 情報システムセキュリティ責任者は、電子計算機及び通信回線装置(公開されたセキュリティホールの情報がない電子計算機及び通信回線装置を除く。以下この項において同じ。)の設置又は運用開始時に、当該機器上で利用するソフトウェアに関連する公開されたセキュリティホールの対策を実施すること。
SIDfm Solution
システムの構築時には、当該システムに導入するOSやアプリケーションのソフトウェアに関するセキュリティホールの調査を行います。SIDfm には、各ソフトウェアのバージョン毎に調査する機能が備わっており、直ぐに脆弱性の状況を判断することができ、事前の詳細なパッチ対策計画が可能となります。この機能を実行するには、SIDfmの「アプリケーション情報」メニューを選択します。
- 導入するソフトウェア名(上図では、apache)で検索し、そのリリースの情報を表示します。最新のバージョンと日付やリリースの履歴、その関連するセキュリティホール情報が紐付けで表示されます。
- 調査しようとするソフトウェアを検索します。この例は apache で検索し、そのバージョンを選択します。
- ソフトウェア(Apache 2.2)が有する脆弱性の詳細状況(リスク総括表)です。各バージョンの脆弱度の状況が CVSS 指標に基づいて理解できます。また、各脅威によって高リスクのものも明示されます。表の中の項目をクリックすると、下に、そのホールに関する詳細な情報(下図)が表示されます。
- 個々のセキュリティホール毎に、CVSSスコアや脅威からの影響の度合い、修正パッチの登録日等のリスク一覧表が表示されます。Web上で、それぞれ項目で「ソーティング」等の処理が可能です。また、各セキュリティホールの詳細説明ページへも直ぐに辿れるようになっています。
- 上の表示は、個々のセキュリティホールのリスク総括表ですが、これは、各セキュリティホールの概要をまとめたものです。セキュリティホールの内容概説、これによって受けるリスクの概要、このセキュリティホールが話題性のあるものかを判断することができる、関連ニュースへの紐付け表示、関連アドバイザリのリンク等が、一目で分かる構成となっております。
(2) 情報システムの構築時
【基本遵守事項】
A.情報システムセキュリティ管理者は、管理対象となる電子計算機及び通信回線装置上で利用しているソフトウェアに関して、公開されたセキュリティホールに関連する情報を適宜入手すること。
SIDfm Solution
情報システム毎に、対象となるソフトウェア(日本最大級 900 種類以上/2022年7月現在)をフィルタアイテムとして登録しておきます。これによって、登録されたものに関連した個別セキュリティホール情報と詳細情報、リスク情報、また、様々な関連情報が整理されて My SIDfmページで適宜見ることができます。また、セキュリティホールが公表された時点で、タイムリーにアラート情報としてメールで受け取ることもできます。これら機能を実行するには、SIDfmの「設定」、「My SIDfm」メニューを選択します。
- 設定画面で「新規フィルタ」を開設します。導入するソフトウェアをアイテムとして登録し、リスクレベルのしきい値やアラート・メールのタイミング等の設定を行います。ソフトウェアは、細かなバージョンまで指定して登録することもできます。組織のセキュリティポリシーに基づいて、CVSSスコアを設定することにより、定量的な脆弱性管理が可能となります。
- 「フィルタ」で指定したソフトウェア・アイテムに関わるセキュリティホール情報や、その関連アドバイザリ、リスク値としてCVSSスコアの一覧表等を My SIDfm 画面で確認することができます。また、「フィルタ」は複数設定できるため、この表示を一瞬で切り替えることができます。世の中のセキュリティに関する動きを把握するため、セキュリティに関するニュースを見ることができます。これらのニュース情報は、大きなテーマで分類されており、タブで切り替え表示が可能です。
- 全てのセキュリティホール情報項目は、RSS によりフィードすることもできます。全体の情報をタイムリーに必要な場合は、この方法でも入手できます。
- 個別のセキュリティホール詳細説明の画面の例です。CVSS基本スコア値等、CVSS v2.0の情報とセキュリティホールの詳細説明を見ることができます。「概要」、「影響を受ける製品」、「影響などの確認方法」、「(パッチ)対処方法」、「関連情報」、「更新履歴」がタブで選択して見ることができます。
(2) 情報システムの構築時
【基本遵守事項】
B.情報システムセキュリティ責任者は、管理対象となる電子計算機及び通信回線装置上で利用しているソフトウェアに関して、セキュリティホールに関連する情報を入手した場合には、当該セキュリティホールが情報システムにもたらすリスクを分析した上で、以下の事項について判断し、セキュリティホール対策計画を策定すること。
(ア) 対策の必要性
(イ) 対策方法
(ウ) 対策方法が存在しない場合の一時的な回避方法
(エ) 対策方法又は回避方法が情報システムに与える影響
(オ) 対策の実施予定
(カ) 対策試験の必要性
(キ) 対策試験の方法
(ク) 対策試験の実施予定
SIDfm Solution
個々のセキュリティホールが情報システムにもたらすリスクは、SIDfm 分析機能で簡単に判断できます。SIDfm は、特定のベンダーに依存しない、脆弱性に対するオープンで汎用的な評価方法 CVSS v2.0 を採用して、個々のセキュリティホール情報として CVSS 評価値を表示できます。フィルタで指定された個々のソフトウェアに関するデータが整理されており、個々の脆弱性の「深刻度」や脆弱性が悪用された場合の影響を「機密性」、「保全性」、「可用性」の観点で、その影響度合いが分かるようになっております。
これらの情報は、CSV エクスポートにより、エクセルによるレポート作成のデータとして使用できます。こうした分析ツールを使い、今後の対策・方針に関する知見を得ることができます。対策方針の決定をアシストするため、セキュリティホールの詳細情報を即座に見て、対策方法、他の回避方法等の情報も得ることができます。これら機能を実行するには、SIDfmの「リスク分析」メニューを選択します。
- フィルタ設定したソフトウェア・アイテムのCVSS基本値(深刻度)がリスク表示されます。また、任意の期間を指定して、再集計することも可能です。セキュリティポリシー上の判断材料として、この深刻度で「対策の必要性」の判断を行うことも一つの方法でしょう。個々のセキュリティホールは、リスク表の中で調べたい「リスクの種類」をクリックすることにより、その詳細な情報が表示されます。この中には、脆弱性が悪用された場合の影響の度合いも含めれるために、緊急性の高いリスクを簡単に分析できます。
- 上記は、リスクを定量的な観点で集計した表示ですが、これを「概要表示ボタン」で、セキュリティホール情報の概要表示に切り替えることができます。この概要表示では、これに関連する「ニュース」等も表示され、その脆弱性の深刻さの度合いや世間の評価をキャッチアップすることもできます。また、セキュリティホール詳細情報も直ぐに参照できますので、「対策方法が存在しない場合の一時的な回避方法」なども、同時に把握できます。
- 「リスク分析」のリスク表示上で、セキュリティポリシーに応じたCVSS基本値(深刻度)の値でしきい値を設定し、対策を行うべき脆弱性を絞り込みます。また、脆弱性が悪用された場合の影響のレベルでソーティング行ことにより、対策の緊急性を判断することもできます。
(2) 情報システムの構築時
【基本遵守事項】
C. 情報システムセキュリティ管理者は、セキュリティホール対策計画に基づきセキュリティホール対策を講ずること。
SIDfm Solution
セキュリティホール対策は、パッチ等の適用を順次実施してゆく作業となりますが、 「リスク分析」の CSVエクスポートにより、適宜、セキュリティ対策実施計画書を作成できます。この計画書にその実施事後の記録も入力し、セキュリティ実施報告書としてに定期的にアップデートしてゆくことにより、セキュリティた施策の運用を記録として残すことができます。SIDfmの「リスク分析」メニューがら CSVエクスポートを行います。
- 「リスク分析」機能の CSVエクスポートで、実施対象とする期間を指定して当該ソフトウェアに関するセキュリティホールのリスク・データを出力します。このデータをベースにカスタマイズし対策計画書や実施報告書を作成し、記録のアップデートを繰り返します。
(2) 情報システムの構築時
【基本遵守事項】
D. 情報システムセキュリティ管理者は、セキュリティホール対策の実施について、実施日、実施内容及び実施者を含む事項を記録すること。
SIDfm Solution
ソフトウェア・アイテム毎に、期間を指定して、当該セキュリティホールのリスク情報含めたデータを CSV エクスポートできます。「弊社提供のSIDfm 報告書作成用エクセルマクロ」を利用し、データをカスタマイズして、必要とする実施記録書式を作成できます。これらを実行するには、SIDfmの「リスク分析」メニューで CSV 出力を行います。
- 「リスク分析」機能の CSVエクスポートで、当該ソフトウェアに関する個々のセキュリティホールのリスク・データを出力できます。個々のセキュリティホールを1行として、その中のカラムに報告書に必要となる対策実施日、実施内容、実施者、実施状況等のカラムを追加して、対策実施報告書を作成することができます。
(2) 情報システムの構築時
【基本遵守事項】
E. 情報システムセキュリティ管理者は、信頼できる方法でパッチ又はバージョンアップソフトウェア等のセキュリティホールを解決するために利用されるファイル(以下、「対策用ファイル」という。)を入手すること。また、当該対策用ファイルの完全性検証方法が用意されている場合は、検証を行うこと。
SIDfm Solution
セキュリティホール対策の具体的な作業は、当該ソフトウェアに必要とするパッチを適用することですが、システムの中で基幹となるソフトウェアには個別の適用試験を行った後、正常動作を確認したものを適用することが一般的です。個々のパッチ情報を個別に探し出すことは、一般に厄介なことですが、これらは「セキュリティホール詳細ページ」で直ぐに参照できます。これらの情報を見るためには、SIDfmの「セキュリティ情報」–>「詳細情報」–>「対処方法」で参照できます。
- 下図は、個々のセキュリティホールの詳細情報の一例を示したものです。情報タブの中の「対処方法」を選択すると、セキュリティホールを解決するための対策ファイル(パッチ等)の所在や、対策のための諸情報が表示されます。SIDfm では、こうした対策用の情報が整理されておりますので、信頼できる情報を入手するためにインターネットを検索するような手間は必要なくなります。
(2) 情報システムの構築時
【基本遵守事項】
F. 情報システムセキュリティ管理者は、定期的にセキュリティホール対策及びソフトウェア構成の状況を確認、分析し、不適切な状態にある電子計算機及び通信回線装置が確認された場合の対処を行うこと。
SIDfm Solution
定期的にセキュリティホール対策及びソフトウェア構成の状況を確認をするには、別途、明示的に「セキュリティに係るサーバ検査・診断」を行うことが確実な運用方法となります。しかし、ここでよく言われる問題は、どの程度の間隔で検査を行うかと言う運用問題があります。この検査頻度を多くすると、セキュリティ維持コストがより掛ることになります。
もし、SIDfm を使用して、常にセキュリティホールの存在とその脆弱性の深刻度、脅威に対する影響の度合いを把握しながら、セキュリティ対策の運用フローを構築した場合、こうしたセキュリティ検査の頻度も少なくすることが可能となります。最も大事な点は、「セキュリティ脆弱性の深刻度」を日々把握して、必要な時点で対策を講じることができる環境を持つことです。SIDfm はこれを低価格で実現できるツールです。
(2) 情報システムの構築時
【基本遵守事項】
G. 情報システムセキュリティ責任者は、入手したセキュリティホールに関連する情報及び対策方法に関して、必要に応じ、他の情報システムセキュリティ責任者と共有すること。
SIDfm Solution
SIDfm には、企業内の複数人の間でセキュリティホール情報やその他リスク情報などを共有する機能があります。必要に応じてセキュリティホール等の情報をほかの情報システムセキュリティ責任者と共有することができます。
- 「グループ」機能は、情報を共有する「フィルタ項目の設定」と「共有ユーザの登録」を行うだけで直ぐに利用できます。同じ観点でセキュリティホール情報、脆弱性の深刻度、脅威のレベル等を認識することが可能となります。これらの登録情報は、管理者が自由に設定変更できます。
セキュリティホール対策に費やす本当のコストは?
以上のような「情報システム資産」毎に、ソフトウェアの脆弱性の管理、パッチの適用管理を定型的に行う場合、その処理フローが一連の流れとして対処できないため、個々のエンジニアにとっても、それ相当の作業オーバーヘッドが見込まれます。こうした作業は、すべて人件(作業)費に変わり、また、作業の効率も大きく低下しているのが現状でしょう。ここで、そのコストは如何ほどかと考えた場合、単純に見込まれる作業量の人件費相当として見ればよいでしょう。一般的に言っても、複数のエンジニアが同様な作業を行っているとした場合、一年間に数百万円相当のコストが費やされているに等しいと思われます。
SIDfmを活用すれば、脆弱性情報の収集や管理作業を半自動化することができます。また、組織内の複数のエンジニアや管理者に脆弱性情報を共有できるため、例えば、官公庁等へのシステム保守を主に行っている会社にもご利用いただいております。