リスク領域から探す

実践ソリューション

リスク情報

RM NAVIとは

コンサルタントコラム

エンドポイントセキュリティの重要性~「ゼロデイ脆弱性」とその対策

2024.4.3

大規模情報漏洩にも繋がりかねない、脆弱性を利用したゼロデイ攻撃とは?

脆弱性とは、コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥のことを指し、「セキュリティホール」とも呼ばれます。脆弱性が存在すると、悪意を持った攻撃者たちが悪用してサイバー攻撃を仕掛けることができます。

脆弱性は、設定変更によりすぐに対処できる場合もありますが、ソフトウェアを開発したメーカーから脆弱性を解消するための修正プログラムが配布されるのを待たなければならないことも多いです。ユーザーにおいては、修正プログラムが配布された後、OSやソフトウェアのアップデートが必要となります。
たとえば、Windowsの場合にはWindows Updateによってそれまでに発見された脆弱性を塞ぐことができます。修正プログラムは、自動で更新が行われるものもありますが、手動で更新を行わなければならないものもあります。

近年は「ゼロデイ攻撃」と呼ばれる手法が増加しています。ゼロデイ攻撃とは、OSやソフトウェアに対する脆弱性が発見されたときに、メーカーが修正プログラムを配布するまでの間に、その脆弱性を利用して行われる攻撃を指します。
脆弱性情報を迅速に共有するために脆弱性情報データベースが構築されていますが、悪意を持った攻撃者はこうした脆弱性情報を参照して、脆弱性が発見されてから短期間でエクスプロイト(脆弱性を利用した不正プログラム)を用いた攻撃を実行します。発見された脆弱性の重大度によっては、非常に大きな脅威となります。

なお、修正プログラムがリリースされているのに、適用しないまま放置している原因として主に以下の3つが挙げられますが、「ゼロデイ」の状態が継続していることになり、非常に危険です。

  1. 修正プログラムがリリースされていることを知らない
  2. レガシーシステム(メーカーのサポート対象外を使用している)
  3. 自社の保有するIT資産を把握していない

独立行政法人情報処理推進機構(IPA)は、前年に発生した情報セキュリティ事故や攻撃の状況等から注意すべき脅威を選出し、「情報セキュリティ10大脅威」を公開しています。2022年に発表された10大脅威の組織編7位に「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」が初めてランクインしました。

対策のポイント~エンドポイントセキュリティ(EDR)のメリット・デメリット

日々新たな脆弱性が発見されていますが、「100%安全な製品・サービス」は存在せず、ゼロデイ攻撃を完全に防ぐことは非常に困難です。被害を最小化するためには、「侵入される確率を下げること」と「侵入された際に早期に発見できること」が重要です。

IPAは、「迅速なパッチ適用」や「サンドボックス」に加えて、「外部からの侵入を検知および防御する機器を導入するなどの備えが重要」と呼びかけています。この検知・防御機能を持ったセキュリティ製品の代表格がEDR(Endpoint Detection and Response)です。EDRは、エンドポイントの不審な挙動を監視し、マルウェアが攻撃を開始する前、あるいは攻撃を開始した際にそれを検知し、ユーザーに通知して即時対処を行う機能を持っています。EDRを導入することで、マルウェアが侵入し攻撃を開始した初期段階で食い止め、被害を最小化することができます。

EDRサービスの選定にあたっては、自社の運用に無理なく組み込めるサポートサービスの有無が重要です。IPAは、特に中小企業に使いやすいサービスとして「サイバーセキュリティお助け隊サービス制度」を立ち上げており、この制度に登録されたサービスのうち半数以上がEDR製品です。

EDRのメリットとしては、マルウェアの侵入や感染した場合、速やかな検知と対応が可能であり、被害を最小限に留めることができます。また、ログが残るため、被害状況を確認するための情報収集が容易になります。
一方、デメリットとしては、自社の業務内容に応じたチューニングが必要であり、適切でないチューニングでは過検知や誤検知により通常業務が阻害される可能性がある点や、監視サービスが有償または限定的なサービスである場合、コストや運用負荷が高くなる点が挙げられます。

脆弱性への根本的な対応は、迅速なパッチ適用です。タイムリーな脆弱性情報の取得と対応を行うためには、以下の体制や手順を整備することが重要です。

  1. 自社で使用している全てのハードウェア、ソフトウェア、サービスを事前に把握できること
  2. タイムリーに脆弱性情報を取得できること
  3. 脆弱性が確認されたときにはすぐに対応できること

現在、サイバー攻撃は多様化・巧妙化しており、サプライチェーンを介したサイバーセキュリティ関連被害も増えています。予防に傾注した対策だけでは被害の回避は難しく、自社の実態に合った多重的な対策を実施することが重要です。

自社の現状とリスク対応能力を把握し、自社でできることと専門家へのアウトソースを整理した上で、さらなる対策の強化や適切なリスク対応を実施することが望まれます。

会員登録でリスクマネジメントがさらに加速

会員だけが見られるリスクの最新情報や専門家のナレッジが盛りだくさん。
もう一つ上のリスクマネジメントを目指す方の強い味方になります。

  • 関心に合った最新情報がメールで届く!

  • 専門家によるレポートをダウンロードし放題!

  • お気に入りに登録していつでも見返せる。