セキュリティの
学び場

今回の解説ニュース

IPAとJPCERT/CCから、Microsoft製品の脆弱性について注意喚起が出されています。ご利用中の方は、セキュリティ更新プログラムの適用を検討してください。発見された脆弱性の内容と、使っているソフトウェアの脆弱性を効率的に管理する方法について説明します。

今回の脆弱性は、マイクロソフト製品に複数の脆弱性が存在するというものです。

・影響を受けるシステム
Windows 10,11
Windows Server 2016,2019,2022
Microsoft Office
などが挙げられています。

・具体的な影響
アプリケーションプログラムの異常終了や攻撃者によるパソコンの制御など、様々な被害が発生する可能性があるということです。

・実害
Microsoft社は一部の脆弱性に対して「悪用の事実を確認済み」と公表しており、被害拡大のおそれがあるため、至急、修正プログラムを適用するよう呼びかけています。

・深刻度など、脆弱性の詳細
深刻度を表すCVSSv3の基本値は7.8～8.8で、2番目に高い「重要」とされています。脆弱性の詳細は、本脆弱性に割り当てられたCVE番号「CVE-2023-36033」「CVE-2023-36036」「CVE-2023-36025」「CVE-2023-36052」で検索してみてください。

修正された脆弱性をもれなく把握するためには？

修正された脆弱性をもれなく把握するためには、パッチマネジメントの仕組みが求められます。Microsoft製品であれば、Windows Updateが最も効率的な仕組みの一つということができます。

何もない状態で脆弱性を把握して、次のアクションにつなげられる人は少ないかもしれません。これら一連のセキュリティ運用を仕組化したものを、パッチマネジメントと言います。

パッチマネジメントとは、情報資産を管理して、脆弱性が発見された際に適切にパッチを適用させるための仕組みです。適切にパッチマネジメントを行うことで、保持する情報資産の脆弱性をもれなく把握し、必要に応じてパッチの適用を行うことができます。

Microsoft製品であれば、Windows Updateをパッチマネジメントの仕組みとして利用することができます。利用者はどのような脆弱性とセキュリティ更新プログラムが提供されているか把握することなく、実行するだけでパッチの適用を提案してくれるものです。

Windows以外にも様々なパッチマネジメントの仕組みが提供されていますが、 S4もWindows以外の様々なOSも含めて、パッチマネジメントができる無償のセキュリティサービスとなります。

脆弱性への対応方法

脆弱性の深刻度に応じて、パッチの適用をどれくらいのスピード感で実施する、しないを判断することが求められます。

脆弱性が公表されて、パッチが提供された際は、一般的には速やかに適用することが求められます。しかし、古いシステムや組み込み系システムの場合、無条件にパッチを適用してしまうと、システムの動作に問題が発生する場合があります。よって、パッチを適用した際の影響を把握するためのテストが必要となりますが、時間とコストがかかるため、実施の可否について何らかの基準で判断する必要があります。

パッチを適用するか否かの判断をするための基準として、脆弱性に付与されたCVSSの値が参考になります。CVSSとは、Common Vulnerability Scoring Systemの略で、脆弱性の深刻度を評価するための汎用的な指標です。脆弱性の深刻度を同一の基準で定量的に比較できるため、脆弱性の対応を検討する上で一定の基準を設けることができます。