情報セキュリティの脅威として、「公開された脆弱性情報を攻撃者が悪用するケース」が近年増加しています。
また、脆弱性情報の公開後、攻撃コードが流通して攻撃が本格化するまでの時間が短くなっている傾向も顕著です。
しかしソフトウェアやネットワーク機器の脆弱性対策には「脆弱性への対応方針の決定やパッチの選定」「対応の時期調整や進捗の管理」に多大な工数が必要となります。
情報セキュリティの脅威として、「公開された脆弱性情報を攻撃者が悪用するケース」が近年増加しています。
また、脆弱性情報の公開後、攻撃コードが流通して攻撃が本格化するまでの時間が短くなっている傾向も顕著です。
しかしソフトウェアやネットワーク機器の脆弱性対策には「脆弱性への対応方針の決定やパッチの選定」「対応の時期調整や進捗の管理」に多大な工数が必要」となります。
JVN「Japan Vulnerability Notes」の脆弱性情報をAIで自動的に「脆弱性辞書」へ分類し登録します。自然言語処理学習モデルは「Sentence BERT」を、機械学習ライブラリは「PyTorch」で実装しています。
システム管理者に「新規脆弱性通知」を行い「脆弱性の脅威度」や組織内の「脆弱性のある資産数」の情報を提供します。システム管理者はこれらの情報を基に脆弱性のリスクアセスメントを行い脆弱性対応の要否をシステムに登録します。
システム管理者が脆弱性対応を決定すると、各脆弱性のある資産ユーザに対し「脆弱性対応ワークフロー」が起票されます。このワークフローには脆弱性の情報、対応方法、修正プログラムが提供されます。
脆弱性情報の公開後、攻撃コードが流通して攻撃が本格するまでの時間が近年は短くなっている傾向があります。
攻撃対象はサーバソフトウェアだけでなくクライアントパソコンで利用するソフトウェアも含まれます。
このマルウェアの侵入経路は、VPN装置の脆弱性であるとされています。当該製品については、2020年以降に3件の深刻度「緊急(CVSS v3)」の脆弱性が報告されており、これらの脆弱性を突いたサイバー攻撃により今回の被害が発生した模様です。脆弱性の報告からサイバー攻撃までの間には、脆弱性対策を行うための十分な時間があったことから、日々自社のIT資産に関する脆弱性の情報を入手し対策を講じていれば被害を未然に防ぐことができたと考えられています。
JVNは、日本で使用されているソフトウェアの脆弱性関連情報と対策情報が提供されています。
IPAとJPCERTにより運営されています
MyJVN-APIは、JVNの情報をWebを通じて利用するためのWebインターフェイスです。MyJVNが提供するAPIを利用して脆弱性情報を取得し、取得した情報をAIを用いて脆弱性辞書に分類します。
導入済のインベントリ収集システムからのインベントリ情報を定期的に取込み、ハードウェア台帳を自動作成します。
各ハードウェアにインストールされているソフトウェアの情報も定期的に取込み、データベースに格納します。
JVNのCVSSv2/v3のスコアによる自動対応要否設定が可能です。(JVNDB番号、タイトル、CVSS深刻度、CVSSスコア、脆弱性詳細、当該資産数から評価)
詳細に遷移すると対応状況報告画面を表示し、ワークフローが開始されます。
対応中の脆弱性一覧、JVNDB番号、タイトル、開始日時、脆弱性詳細、対応状況毎の対象資産数が確認できます。
JVNDB番号、タイトル、対応開始日時、脆弱性詳細が確認できます。
「令和3年度版 政府機関等の情報セキュリティ対策のための統一基準」は、国内の政府機関が実施すべき対策指針を示したものです。
具体策として「政府機関等の対策基準策定のためのガイドライン」が示されています。
ソフトウェアの脆弱性対策については、「政府統一基準」P47 6.2.1項 ソフトウェアに関する脆弱性対策、並びに、「ガイドライン」P223 6.2.1項 ソフトウェアに関する脆弱性対策にて示されています。
「政府統一基準」及び「ガイドライン」にて求められている脆弱性対策は以下の通りです。
引用:「政府統一基準」および「政府機関等の対策基準策定のためのガイドライン」
VPC設定、セキュリティグループ設定、インスタンス設定、監視設定等
資産管理ツールのインベントリファイルをサーバ連携し取込みます。
組織及びユーザマスタを設定します。
認証基盤に合わせてシングルサインオン設定します。
リモートからお客様クラウドサーバに対して導入サポートを行います。
端末一台あたり