{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
脆弱性対策の高度化に向けた視点と対応策
前編で述べたとおり、金融機関および一般企業が直面する脆弱性管理の課題に対しては、多面的かつ組織横断的な対応策が必要です。以下に、主要な課題ごとに具体的な対応策の例を示します。
これらの対応策を総合的に実施し、各課題の克服に向けた組織横断的な取り組みを推進することで、金融機関の脆弱性管理能力を飛躍的に向上させることが可能です。
1 システム構成情報の自動収集
脆弱性管理の前提として、企業内にある全てのIT資産やソフトウェアの棚卸し・インベントリ管理を徹底し、継続的に最新の情報にアップデートすることが基本であることは、先に述べたとおりです。
それを実現するためには、企業内のIT資産の情報を定期的に自動収集する仕組みを導入することが必要です。そのような機能を持った構成管理ツールは世の中に多く存在しますが、ツール導入にあたっての考慮点について挙げておきます。
- ツールによって情報収集の方法(エージェント導入/エージェントレス)は異なるが、収集対象のIT資産および企業ネットワークにかかる負荷や認証方法、取得できる情報の種類など、収集方法ごとの特性を踏まえ、それぞれの企業で最適な方法を選択すること
- 収集した情報は、表計算ソフトなどでの管理ではなく、更新履歴が残り、更新の競合やデグレードが起きない構成管理データベースを使用して管理すること
- 最終的には企業内の全てのIT資産やソフトウェアの情報を構成管理データベースに格納することが目標となるが、まずはできるところから着手し、段階的に収集範囲を広げていくこと
(例:機器種別ごと、IPアドレス範囲ごと、地理的範囲ごと) - 新規で企業ネットワークに接続された機器を自動的に管理対象に含めることができる仕組みとすること
(例:企業ネットワークで使用されるIPアドレスの範囲を網羅的にスキャンする仕組みとする) - レガシーシステムなど、異なるプラットフォームで管理している資産については、無理に管理を一元化せず、システム間での連携なども含めた最適な管理を検討すること
- Apache Log4jなどの、各ソフトウェアのコンポーネントとして使用されているOSSについても可能な限り情報収集すること
(例:使用しているソフトウェアの開発元からSBOM情報を入手する1方法や、ファイルベースディスカバリーと呼ばれる手法を用いて、ソフトウェアがインストールされているディレクトリに存在するファイルの情報を収集する方法など)
どんなITシステムでも同様ですが、仕組みを導入したら運用の検討も必要になります。ダッシュボードなどを用いて、しばらく情報が更新されていない機器がないか、新規で情報収集を開始した機器について適切な情報が取得できているかなどについて、定期的に確認する運用を設けるのがよいでしょう。
2 リスクベースアプローチの推進
脆弱性の評価に用いられるCVSSは、主に脆弱性を攻撃された際の影響の度合いを評価したものです2。しかし、ITシステムに対するリスクは、攻撃を受けた際の影響度合いだけではなく、そもそもどの程度攻撃される可能性があるのか、脆弱性のある資産の重要性はどの程度なのかも含め、以下のように評価されるべきです(図表1)。
図表1:リスクの考え方
(IPA「脆弱性対応におけるリスク評価手法のまとめ ver1.1」を参考にPwC作成)
このように算出された「リスク」を用いて、対応すべき脆弱性の優先順位を明確化し、現実的で無理のないパッチ適用などのスケジュールを策定します。
こうした考え方に基づく脆弱性の評価指標として、EPSSやSSVCなどがあります。
主な脆弱性の評価指標
| 評価指標 | 説明 |
運営者 |
脅威 |
影響 |
資産 |
| CVSS (Common Vulnerability Scoring System) |
脆弱性の深刻度(影響)を数値化し評価する国際的な指標 |
FIRST |
〇 |
||
| KEV (Known Exploited Vulnerability) |
実際に攻撃に悪用された脆弱性のリスト |
CISA |
〇 |
||
| EPSS (Exploit Prediction Scoring System) |
今後30日以内に脆弱性が悪用される可能性を0~1(0~100%)のスコアで算出する評価指標 |
FIRST |
〇 |
||
| SSVC (Stakeholder-Specific Vulnerability Categorization) |
異なるステークホルダーの視点から脆弱性の対応優先度を評価し、適切な対応を導くための評価手法 |
カーネギー |
〇 |
〇 |
〇 |
| LEV (Likely Exploited Vulnerabilities) |
実際に悪用される可能性が高い脆弱性を特定し、対応の優先順位を決定するための補助指標(2025年5月にホワイトペーパー) | NIST |
〇 |
(公開情報に基づいてPwC作成)
EPSSについては2021年と少し古いですが、米国FIRSTから図表2のような研究結果が出ています。CVSSスコア(基本評価基準)だけに基づいて脆弱性対応を行うと、CVSSスコアは低いが悪用される可能性の高い脆弱性を見逃すことにつながりかねません。
図表2:CVSSとEPSSの相関
EPSS(やKEV)の評価値は、各運営元からAPI等で取得することが可能です。SSVCについては、その考え方を取り入れた脆弱性管理ツールがいくつかリリースされていますので、そのような脆弱性管理ツールを導入することも選択肢の一つになります。
EPSSやSSVCについては、以下のような別記事も参照してください。
EPSSに関する参考記事
https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/epss.html
https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/epss-kev.html
SSVCに関する参考記事
https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/ssvc-conjugation.html
https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/ssvc-introduction.html
上記のように算出されるリスクに基づく評価に加え、金融ISACが会員企業向けに提供する注意喚起情報や、JPCERT/CCが特定組織向けに提供している早期警戒情報3などを活用することも有効です。
3 部門間連携とガバナンス強化
脆弱性管理・システム構成管理に限った話ではありませんが、IT部門や情報セキュリティ部門ではないシステム利用部門の担当者に、セキュリティ対策の重要性を理解してもらうためには、経営層の理解と支援、およびセキュリティ教育が重要になります。
経営層の理解と支援
- セキュリティ対策は経営課題であると認識し、経営層が率先してセキュリティ対策の重要性を発信し、セキュリティ部門の活動を支援することで、全社的なセキュリティ意識向上と適切な資源配分が実現し、企業の安全性向上につながります。
セキュリティ教育
- セキュリティ教育・トレーニングプログラムを定期的に実施し、脆弱性管理やシステム構成管理をはじめとしたセキュリティ対策の重要性と具体的な対応方法、役割分担/責任体系を全社的に浸透させます。
これらによる下地があってこそ、部門間の連携を向上させ、効果的な脆弱性管理およびシステム構成管理の体制とプロセスを構築することができます。
次に、体制・プロセス構築にあたっての考慮点について挙げておきます。
- 脆弱性発見から対応までのフローを明確化し、各部門の責任範囲の定義や連絡・報告プロセスを整備すること。例えば、脆弱性情報の入手や評価はIT部門/情報セキュリティ部門の責任とし、実際のパッチ適用などの脆弱性対応はシステム利用部門の責任、脆弱性対応の進捗管理をリスク管理部門の責任とすることで、各部門が脆弱性管理プロセスに主体的に関わる意識を醸成する。
- 定義した責任範囲やプロセスについて、各タスクの担当者を明確に割り当て文書化する。また、割り当てられた担当者が当該タスクに工数を割けるように、システムの計画・設計段階から、運用フェーズにおけるセキュリティ対応を組み込んでおくことが理想である。
- 脆弱性対応の優先順位付けや対応期限などのルールを関係部門間で調整・合意形成して社内で統一し、明文化する。これによって、部門独自の考えの下で脆弱性対応が遅延したり、対応漏れが発生したりすることを防ぐ。
- 脆弱性対応の実施状況・進捗をリアルタイムに把握できるツールを活用し、脆弱性対応のステータスを可視化することで、脆弱性対応の遅延や対応漏れの発生を抑える。
4 委託先・業務提携先との協働による脆弱性管理の強化
サプライチェーン全体の脆弱性管理状況を把握・評価するため、委託先については社内のベンダー管理部門や調達部門とも連携して対応します。具体的には、契約締結時にセキュリティ要件を明確化し、脆弱性発見時の報告を含む脆弱性対応プロセスの遵守を義務付けます。対象となる委託先は、ネットワーク経由でシステム同士が直接つながっているところだけではなく、使用している主要ソフトウェアの共有元や、データ管理やそのデータを用いた業務を行っている委託先も含まれます。なお委託先の種別によっては、そのようなプロセスへの対応が困難な場合もあるため、契約前にチェックリストなどを用いて対策状況を開示してもらうといった、状況に応じた取り組みが必要になります。
さらに、定期的な監査やレビューを通じて委託先の脆弱性対応状況を確認し、問題発見時には速やかに改善を促すプロセスを構築します。なお、そのような堅苦しいプロセスではなくとも、委託先との定期的、日常的なコミュニケーションを通じてセキュリティ対応状況について情報共有するなど、定例会議やレポーティングルールの整備により情報共有手法を標準化し、情報伝達の透明性と迅速性を高めることも効果的です。
また、委託関係のないフィンテック企業などの業務提携先については、提携時に脆弱性発見時やインシデント発生時に速やかな情報提供を行う条項を業務提携契約書に設けるなどの検討が必要です。
詳細はサードパーティリスク管理に関する別記事を参照してください。
最後に
金融機関の持続的な安全・安定運用のためには、脆弱性管理やシステム構成管理を単なる技術課題として捉えるのではなく、経営戦略の一部として位置付け、組織横断的な取り組みを加速することが不可欠です。本提言を踏まえ、実務担当者はもちろん経営層も一丸となり、脆弱性管理体制の強化・高度化を推進することを強く推奨します。
1 前述のとおり、現時点ではSBOMを活用することに対するハードルは高いが、一部のソフトウェア開発元は自社製品のSBOM情報を公開していたり、問合せベースで提供していたりするため、必要に応じて活用することは可能
2 正確に記すと、CVSSには一般的に利用されているCVSS基本評価基準以外に、脅威を示すCVSS脅威評価基準(v3.1までは現在評価基準)や、資産を示すCVSS環境評価基準が定義されているが、十分に活用されているとは言いがたい。
3 重要な情報インフラ等に重⼤な影響を及ぼす可能性がある情報であり、JPCERT/CCが早期に重要な情報インフラ等を提供する組織および団体と共有すべきと判断した情報
https://www.jpcert.or.jp/wwinfo/
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
{{contentList.loadingText}}
