緊急対策が必要!悪用が確認された脆弱性とは?
セキュリティを知りたい
「悪用が確認されている脆弱性」って、一体どんなものなんですか?なんだか難しそうな言葉でよくわかりません。
セキュリティ研究家
そうだね。「悪用が確認されている脆弱性」というのは、簡単に言うと、誰かが実際に悪用したことが確認されているコンピューターの弱点のことなんだ。例えば、家の鍵の欠陥が分かっていて、泥棒が実際にその欠陥を使って家に入ったという状況と似ているよ。
セキュリティを知りたい
なるほど!誰かが実際に悪用したことが確認されている弱点ということですね。でも、そんなにたくさんの弱点があるのに、全部を管理するのは大変そうですね。
セキュリティ研究家
その通り!そこで、特に危険な弱点だけをまとめたリストがあるんだ。それが「悪用が確認されている脆弱性」のリストで、国が管理しているんだよ。このリストを参考にすれば、重要な弱点から優先的に対策していくことができるんだ。
悪用が確認されている脆弱性とは。
セキュリティーを強化するための大切な知識として、「悪用が確認されている脆弱性」について説明します。これは、アメリカのサイバーセキュリティー・インフラストラクチャセキュリティ庁が管理している、弱点のリストです。日本語では、「悪用された脆弱性」や「既知の悪用された脆弱性」、「悪用済み脆弱性」などとも呼ばれます。
このリストには、これまでに実際に悪用されたことが確認されている弱点だけが載っており、常に最新の情報が反映されます。リストに載せるための基準は、弱点が特定の番号で管理されていること、実際に悪用されたことが確認されていること、そして対策方法がはっきりしていることです。
アメリカの政府機関が出した「拘束力のある運用指示」に基づき、アメリカのすべての政府機関は、リストに記載された期限までに、それぞれの弱点への対策をとることが義務付けられています。
また、アメリカのサイバーセキュリティー・インフラストラクチャセキュリティ庁は、強制ではありませんが、すべての組織や地方自治体、企業も、このリストに記載された弱点への対策をとることを推奨しています。
悪用が確認されている弱点は、2022年11月の時点で857件にもなり、膨大な数になっています。これらすべてを同時に管理するのは難しいので、関係者ごとに重要度の高い弱点から優先的に対処していく方法と組み合わせて使うことが推奨されています。
実際に悪用されている脆弱性のリスト
– 実際に悪用されている脆弱性のリスト
情報通信技術の進歩に伴い、私達の生活は便利になる一方、 cyber空間における脅威 も増加の一途をたどっています。日々、様々な攻撃の手口が開発され、私達の大切な情報が危険に晒されています。
実際に悪用されている脆弱性(KEV)は、アメリカのサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が公表しているリストです。このリストは、 実際に悪意のある攻撃者に利用されたことが確認された脆弱性 を集めたもので、既知の脆弱性データベースであるCVEの中から特に危険性の高いものが厳選されています。
KEVに掲載されている脆弱性は、 標的型攻撃からランサムウェア攻撃、そしてウェブサイトの改ざんなど、多岐にわたる攻撃 に悪用されています。攻撃者はこれらの脆弱性を悪用し、企業や組織のネットワークに侵入し、機密情報を盗み出したり、システムを破壊したりします。
CISAは、 KEVに掲載された脆弱性に対する対策を迅速に実施することを強く推奨 しています。具体的には、ソフトウェアのアップデートやセキュリティパッチの適用、セキュリティ設定の見直しなどが挙げられます。
情報セキュリティは、 一人ひとりが意識し、適切な対策を講じること が重要です。KEVは、私達にサイバー攻撃の現状と対策の重要性を再認識させてくれます。日頃から情報収集を行い、最新の情報に基づいた対策を心がけましょう。
| 情報源 | 内容 | 危険性 | 対策 |
|---|---|---|---|
| アメリカのサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA) | 実際に悪用されている脆弱性(KEV)を公表 | 実際に悪意のある攻撃者に利用された脆弱性 既知の脆弱性データベース(CVE)の中でも特に危険性の高いもの |
ソフトウェアのアップデートやセキュリティパッチの適用 セキュリティ設定の見直し |
KEV掲載の基準
脆弱性に関する情報は、セキュリティ対策において非常に重要です。膨大な数の脆弱性情報の中から、特に注意を払うべきものを選別することは容易ではありません。そこで、「実際に悪用される危険性の高い脆弱性」をまとめた情報源として、KEV(既知の悪用された脆弱性カタログ)が提供されています。
KEVに脆弱性が掲載されるには、いくつかの厳しい基準が設けられています。まず、その脆弱性には、CVE(共通脆弱性識別子)による登録が必須となります。CVEは、世界中で発見された脆弱性に対して、共通の識別番号を割り当てるシステムです。CVEへの登録によって、脆弱性に関する情報の一元化が図られ、情報共有がスムーズになります。
さらに、KEVへの掲載には、実際に悪用された事例が確認されていることが求められます。つまり、理論上は攻撃が可能であるという段階ではなく、実際に悪用された事例が存在することで、より深刻度が高いと判断されます。
そして、その脆弱性に対する明確な対策方法が存在することも重要な基準となります。具体的には、ソフトウェアの更新プログラムの提供や、設定変更による回避策など、具体的な対策方法が示されている必要があります。
このように、KEVは単に脆弱性の存在を知らせるだけでなく、早急に対策を講じるべき危険な脆弱性を明確に示していると言えるでしょう。KEVで公開されている情報は、企業や組織のセキュリティ担当者にとって、優先的に対処すべき脆弱性を把握する上で非常に役立ちます。
| KEV掲載基準 | 内容 |
|---|---|
| CVE登録 | 脆弱性にはCVEによる登録が必須。情報の一元化と共有を促進 |
| 悪用事例 | 実際に悪用された事例が確認されていること。深刻度の高さを判断 |
| 対策方法 | ソフトウェアの更新や設定変更など、明確な対策方法が存在すること |
アメリカ政府機関におけるKEVへの対応
近年、アメリカでは国家レベルで情報セキュリティ対策の強化が急務となっています。特に、アメリカ政府機関を標的としたサイバー攻撃の増加は深刻で、政府機関のシステムやデータを守るためのより強固な対策が求められています。
こうした状況を受け、アメリカ政府は「既知の脆弱性情報の活用」を徹底する取り組みを強化しています。これは、既に公表されているセキュリティ上の弱点に関する情報 (KEV) を活用し、政府機関のシステムに潜む脆弱性をいち早く発見、修正することを目的としています。
具体的には「拘束力を伴う運用指令22-01」と呼ばれる大統領令に基づき、連邦政府機関に対してKEVへの対応が義務付けられました。この指令では、公表された脆弱性情報データベースに記載された期限までに、政府機関は指定された脆弱性への対策を完了しなければなりません。 対策が遅延した場合には、責任の所在を明確化し、厳格な追及が行われます。 また、政府機関は、脆弱性対策の進捗状況を定期的に報告することが義務付けられており、対策の透明性も確保されています。
この取り組みは、政府機関全体のセキュリティ対策を底上げする上で非常に重要な一歩と言えるでしょう。政府機関は、国家安全保障や国民の生活に直結する機密情報や重要インフラを管理しており、ひとたびサイバー攻撃を受ければ、その影響は計り知れません。KEVへの対応を義務付けることで、脆弱性を放置することによるリスクを大幅に減らし、より安全なシステムの構築を目指しています。
| 取り組み | 内容 | 目的 |
|---|---|---|
| アメリカ政府機関における情報セキュリティ対策強化 | 既知の脆弱性情報 (KEV) の活用徹底 | 政府機関のシステムやデータを守るため |
| 大統領令「拘束力を伴う運用指令22-01」 | 連邦政府機関に対してKEVへの対応を義務化 – 公表された脆弱性情報データベースに記載された期限までに、指定された脆弱性への対策を完了 – 対策が遅延した場合には、責任の所在を明確化し、厳格な追及 – 脆弱性対策の進捗状況を定期的に報告 |
脆弱性を放置することによるリスクを大幅に減らし、より安全なシステムの構築 |
民間企業や組織における重要性
– 民間企業や組織における重要性
サイバー攻撃の脅威は、政府機関だけでなく、民間企業や組織にとっても深刻な問題となっています。近年、機密情報や個人情報などを狙ったサイバー攻撃が増加しており、その被害は甚大なものとなっています。このような状況下において、脆弱性情報を共有し、対策を講じることは、組織の規模や業種を問わず、安全な事業継続のために不可欠です。
アメリカの国土安全保障省傘下のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が主導する「既知の悪用された脆弱性カタログ(KEV)」は、実際に悪用が確認されたソフトウェアの脆弱性に関する情報を集約し、公開しています。
CISAは、すべての組織に対して、KEVに掲載された脆弱性への対策を強く推奨しています。これは、サイバー攻撃の手口が巧妙化し、標的が拡大している現状を踏まえたものです。KEVに掲載された脆弱性を放置することは、サイバー攻撃のリスクを高め、組織の信頼を失墜させることにつながりかねません。
民間企業や組織は、KEVで公開されている情報を入手し、自組織のシステムに同様の脆弱性が存在しないかを確認することが重要です。もし、脆弱性が発見された場合は、速やかに修正プログラムを適用するなど、適切な対策を講じる必要があります。
サイバーセキュリティ対策は、もはや一部の専門家だけの問題ではありません。組織全体で意識を高め、継続的に対策を進めていくことが重要です。
| 主体 | KEVにおける役割 | 行動 | 結果 |
|---|---|---|---|
| CISA(サイバーセキュリティ・インフラストラクチャセキュリティ庁) | 実際に悪用されたソフトウェアの脆弱性情報を集約し、KEVとして公開 | KEVに掲載された脆弱性への対策を強く推奨 | – |
| 民間企業や組織 | KEVで公開されている情報をチェック | 自組織のシステムに同様の脆弱性が存在しないかを確認 脆弱性が発見された場合は、速やかに修正プログラムを適用するなど、適切な対策を講じる |
サイバー攻撃のリスクを低減 組織の信頼失墜を回避 |
膨大な数の脆弱性への効率的な対応
日々新たに発見される脆弱性は膨大な数に上り、そのすべてに対応することは現実的に不可能です。セキュリティ対策の担当者は、対応すべき膨大な数の脆弱性と、限られた時間やリソースの狭間で頭を悩ませています。
このような課題に対して、アメリカ合衆国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、「SSVC(関係者特有の脆弱性分類)」と呼ばれる、組織の特性に合わせた脆弱性管理モデルを提唱しています。
SSVCは、すべての脆弱性を一律に評価するのではなく、組織の事業内容やシステム構成、保護すべき情報の重要度などを考慮して、対応の優先順位を決定することを推奨しています。
つまり、自組織にとって特に影響の大きい脆弱性から優先的に対処することで、限られたリソースを有効活用し、より効率的にセキュリティ対策を実施することが可能となります。
SSVC導入の第一歩として、まずは自組織の事業内容やシステム構成を分析し、どのような種類のサイバー攻撃が、どの程度の頻度と影響度で発生する可能性があるのかを評価します。
次に、保有する情報資産のうち、特に重要なものを洗い出し、それらの情報資産がどのようなシステムでどのように扱われているかを明確化します。
これらの分析結果に基づき、公開されている脆弱性情報と照らし合わせて、自組織にとって特に危険度の高い脆弱性を特定し、優先的に対応していくことが重要です。
| 従来の脆弱性管理 | SSVCに基づく脆弱性管理 |
|---|---|
| すべての脆弱性を一律に評価する。 | 組織の特性に合わせ、対応の優先順位を決める。 |
| 膨大な数の脆弱性に、限られた時間とリソースで対応しなければならない。 | 限られたリソースを有効活用し、効率的なセキュリティ対策が可能になる。 |
最新の情報へのアクセスと迅速な対応を
昨今、悪意のある者による攻撃の手口は巧妙化しており、私たちの大切な情報が危険に晒されるリスクは日々高まっています。このような状況から身を守るためには、常に最新の情報を把握し、迅速に適切な対策を講じることが重要となります。
情報セキュリティ対策の指針となる「脅威と脆弱性に関する情報(KEV)」は、定期的に更新され、新たな脅威やその対策方法が随時公開されています。私たちは常に最新版の内容を確認し、自らの置かれている環境や状況に照らし合わせて、適切な対策を講じる必要があります。
特に、KEVで公表されている脆弱性が発見された場合は、一刻も早い対応が求められます。悪意のある者がその脆弱性を突いて攻撃を仕掛けてくる可能性もあり、早期の発見と対応が被害を最小限に抑える鍵となります。
最新の情報を入手し、迅速に対応することで、私たちは安全で安心できるデジタル社会を実現することができます。常に情報セキュリティを意識し、積極的に対策に取り組みましょう。