情報セキュリティ担当者に朗報！システムの脆弱性を漏れなく教えてくれる「脆弱性情報発報サービス」とは

　アプリケーションやOSのみならず、Apache Struts2（アパッチ・ストラッツ2）やOpenSSL（オープンエスエスエル）といった汎用性の高い開発用プラットフォームにおける脆弱性が見つかる事例も相次ぎ、企業が積極的にサイバー攻撃対策をとる必然性はますます高まっています。

　脆弱性は日々発見されており、IPA（情報処理推進機構）の脆弱性対策情報データベース「JVN iPedia」に登録された脆弱性対策情報は、2017年第3四半期（2017年7月1日から9月30日まで）だけでも3,695件にのぼります。

　膨大な数の対策情報が公開されるなか、脆弱性に対するユーザー側の対策は後手に回りがちであり、脆弱性を狙ったサイバー攻撃による被害は後を絶ちません。このようなサイバー攻撃は、以前は高度な技術を持ったハッカーしか実行できないものでした。しかし、昨今ではエクスプロイトキット（Exploit Kit）と呼ばれる脆弱性攻撃を比較的簡単に実行できるツールキットが売買されるまでになり、攻撃者のすそ野が広がり脅威も増してきています。

　今回は、このような状況において、サイバー攻撃の脅威への対策の足がかりとなる、「脆弱性情報発報サービス」ついて紹介します。

「脆弱性情報発報サービス」とは、どんなサービス？

　ソフトウェアの脆弱性を攻撃してくるインターネット経由の脅威に関して、悪用された脆弱性の99.9%は脆弱性情報の公開後1年以上経過したものだと発表されています（ベライゾン社「2015年度データ漏洩/侵害調査報告書 (DBIR)」より）。

　つまり、サイバー攻撃の対象となった脆弱性は、99.9%が修正パッチや脆弱性が修正された最新バージョンが提供されている脆弱性だったということです。

　自社が使用しているソフトウェアを漏れなく把握し、脆弱性情報を集め、修正パッチが提供されたら即適用する、という当たり前ともいえる作業をミスなくこなすことができれば、多くのサイバー攻撃は防ぐことができると言えるのです。

　加えて、より安定的な情報システム運用のためには、自社で導入しているソフトウェアの脆弱性情報を網羅的に継続的に収集して対応していく必要があるのです。

　しかし、これを手動で行おうとすると手間と時間がかかり、情報収集の漏れや対応の遅れが生じる恐れもあります。そのような漏れや遅れを生じさせないために、アイネスでは、お客様が使用しているソフトウェアを登録するだけで新たな脆弱性の情報を通知する「脆弱性情報発報サービス」を提供しています。

セキュリティホール（脆弱性）についての情報をプッシュ通知

　「脆弱性情報発報サービス」は、お客様が使用しているソフトウェアに新たなセキュリティの脆弱性が見つかった場合、それをメールで通知するサービスです。

　お客様から通知を受けたいソフトウェアを申請いただき、アイネスにてデータベースに登録します。これをIPA（情報処理推進機構）が提供する「脆弱性対策情報データベース」と1日3回、突き合わせてチェックし、脆弱性情報があればプッシュ通知するといったものです。

セキュリティホール（脆弱性）ができていることを警告

　ソフトウェアの脆弱性だけではなく、お客様がご使用中のシステム環境全体に対する脆弱性の有無を診断し、レポートでご報告する「脆弱性診断サービス」も提供しています。

　対象となるのは、サーバー、ネットワーク機器、主要なミドルソフトなどのプラットフォームや、Webサイト。これらにセキュリティホールができていれば警告いたします。ツールを使った診断サービスのほか、ホワイトハッカーと呼ばれる技術者による疑似アタックを行うことでお客様のシステム環境の脆弱性を診断する高度なサービスまでの提供が可能ですので、より堅固なセキュリティ環境を構築するための検討材料としてご利用いただけます。

　将来的には、発見したセキュリティホールに対してお客様の方で対策を講じられたかどうかを確認し、未対策の場合には警告を行うところまでサービスを拡充することを視野に入れ、準備を進めております。

　情報セキュリティ対策には、これさえやっておけば大丈夫、という万能薬は残念ながら存在しません。アイネスでは脆弱性情報発報サービスをはじめ、さまざまな情報セキュリティサービスをご用意し、お客様個々の状況を判断して最適な組み合わせをご提案しております。

より詳しい内容をお知りになりたい方は、下記よりお問い合わせください。

※ 本文に掲載されている会社名・製品名は各社の商標または登録商標です。