脆弱性対策の方法と実施するポイント｜効果的だった事例も紹介

脆弱性が発生する原因とリスク

脆弱性とは、パソコンのOSやソフトウェア、ネットワーク機器に生じたセキュリティ上の欠陥のことです。まずは、脆弱性の発生する原因やリスクについて解説します。

脆弱性が発生する原因

脆弱性が発生する原因として、以下の3つが挙げられます。

重要な情報を取り扱うオフィス区間への入室管理設備が整備されていないなど、設備の不備が脆弱性を引き起こします。

技術的な不備は、一般的に脆弱性として認識されているものです。システムバグの放置やマルウェア対策の不足、予測しやすいパスワードが含まれます。

情報セキュリティに関する社員への教育不足や、インシデント発生時の対応マニュアルの不在、監視体制の未整備といった管理・制度の不備も、脆弱性を生む原因です。

脆弱性が及ぼすリスク

脆弱性を放置しておくと、インシデント（情報セキュリティに関する事件・事故）を引き起こすリスクがあります。

IPAが公開する「中小企業の情報セキュリティ対策ガイドライン」によると、インシデントは会社に以下のような不利益をもたらします。

賠償請求やクレジットカードの不正利用などの直接的な金銭の損失は、会社にとって大きなリスクです。また、インシデントの発生によって社会的評価が低下すれば、顧客が失われて、事業継続自体が困難になりかねません。

インシデント原因の調査や復旧に時間を奪われることによる、営業機会の損失や納期の遅延も、企業にとって大きな損失です。また、従業員も自分が勤める会社へのイメージダウンして、他社への転職に走る可能性があります。

脆弱性の対策方法

脆弱性は会社にとってさまざまな悪影響があるため、以下のような対策を行いましょう。

1.脆弱性について正しく認識

情報システムの取り扱いには、常に災害やシステム障害の脅威が存在します。これらの脅威は性質上、自助努力による対策が難しいものです。

一方、脆弱性とは組織内部における弱点のことであり、自らの努力によって取り除くことや軽減することが可能です。そのため、今の組織や情報システムにどのような脆弱性があるのかを認識することが、脆弱性対策の第一歩です。

2.設備の不備への対処

オフィスがある企業の場合、職場の設備不備への対策が急務です。機密情報を取り扱う区間に誰でも入れる状態になっていないか、セキュリティロックの機器が問題なく稼働しているか、社員証やICカードを用いた入退室管理システムが導入されているかなどを確認しましょう。もし不備がある場合は、早急に改善を行います。

3.技術的な不備への対処

社内のネットワークがVPNによって保護されているか、ソフトウェアの更新パッチは適用されているか、PCのOSバージョンやセキュリティソフトは常に最新版が適用されているかといった、技術的な不備がないか確認しましょう。

一般的に公開されているソフトウェアやPCのOSは、更新プログラムが公開されていることがほとんどなので、専門知識がなくても対応が可能です。

一方、ネットワークや独自のソフトウェアの脆弱性は専門的な知識が求められるため、脆弱性診断を専門業者に外注することも検討しましょう。

4.管理・制度の不備への対処

全社的な情報セキュリティに関する方針を定め、社外での業務システム利用やデータへのアクセスルール、外部記憶媒体への情報持ち出しの可否などを決めることが重要です。インシデントが発生した際の対応フローをあらかじめ策定し、万が一の場合の影響を最低限に抑える準備も欠かせません。

定期的な従業員への情報セキュリティ教育の実施やマニュアルの配布など、常にユーザー全員が、情報システムの取り扱いの共通認識を持つための取り組みも行いましょう。

脆弱性対策を実施する際のポイントや注意点

脆弱性対策を実施する際は、以下の4つのポイントを押さえておきましょう。

1.バージョンを常に最新にする

システムやセキュリティのバージョンは、必ず最新に更新しましょう。たとえセキュリティ対策ソフトやVPNソフトウェアを導入したとしても、バージョンが古いまま放置されていては、それ自体が脆弱性になりかねません。

たとえば、セキュリティ対策ソフトの場合、古いバージョンでは最新の攻撃に対して対処できず、マルウェアの侵入を許してしまう可能性があります。サイバー攻撃の手法は日々増えているため、定期的な更新は忘れないようにしてください。

2.脆弱性に関する情報収集は怠らない

新たな脆弱性が、次々と発見されています。組織内で早急に対応すべき脆弱性がないか、情報収集は常に行うようにしましょう。

ソフトウェア製品の脆弱性に関する情報を提供するサイトとして、JVN（Japan Vulnerability Notes）があります。JVNでは組織のシステムに関係する情報を収集できるだけでなく、脆弱性に対する対策方法も掲載されています。掲載されている情報を基に緊急度や重大度を加味しながら、対応するようにしてください。

3.できることから始める

専門的な対処が難しい中小企業では、できることから始めてみましょう。IPAが公開する「中小企業の情報セキュリティ対策ガイドライン」には、「情報セキュリティ5か条」として、最低限押さえておきたい対策が公開されています。

常に最新バージョンを使い続けることやウィルス対策ソフトを導入すること、簡単なパスワードを設定しないこと、外部とのデータ共有設定を見直すこと、脅威や攻撃の手口を知ることの5つが最低限実行すべき対策として紹介されています。

どれも簡単に実行できる対策ですので、まずはこの5つから始めてみてはいかがでしょうか。

4.専門家へ相談する

組織が大規模の場合やネットワーク・システムが複雑な企業の場合、専門家への相談を検討しましょう。

「情報処理安全確保支援士」は、サイバーセキュリティ対策を推進する人材の国家資格です。脆弱性対策をはじめ、サイバーセキュリティ対策について相談できる人材が保有する資格であり、資格保有者は「情報処理安全確保支援士検索サービス」で検索できます。

検索結果には資格保有者が所属する会社も表示される場合があるので、個人ではなく、法人へ相談したい場合も活用できるでしょう。

脆弱性対策の事例を紹介

ここからは、脆弱性対策で実際に効果を上げた事例を紹介します。

1.多要素認証で不正アクセス防止

従業員による簡易なパスワード設定と、複数のサービスでのパスワード使い回しが横行していた企業の事例です。パスワードの流出がたびたび問題となっており、不正アクセスと思わしきログも見つかっていました。

企業から相談を受けて根本的な認証の強化として提案したのが、多要素認証の導入です。多要素認証とは、認証の際にIDとパスワード以外にSMSへの通知など、本人しか持ち得ない情報を要求する強力な認証方式です。たとえパスワードが流出したとしても、第三者はアクセスできないため、不正アクセスを防止することができます。

他要素認証の導入後、アクセス制御の脆弱性がなくなり、不正アクセスのログが新たに発生することもなくなりました。

2.外部へのデータ流出対策

業務で用いるドキュメントを、クラウド上のストレージに保存している企業の事例です。退職直前に従業員によって会社データを持ち出されたことがあり、何か対策できないかと相談を受けました。

この事例の脆弱性は、インターネットさえつながれば、社外・社内問わずストレージにアクセスできることでした。よって、情報漏えい防止の観点から新しいアクセス制御として、オフィスのネットワークかつ会社貸与のデバイスからのみアクセス可能な、クラウドストレージを提案しました。

この対策により、社外からの不正アクセスや、従業員の私用端末からのデータ持ち出しを防ぐことができます。また、USBなどの外部記憶デバイスの使用制限も合わせて提案することにより、従業員によるデータ持ち出しはなくなりました。

脆弱性対策のまとめ

脆弱性への対策を怠ると、インシデントによって企業に大きな損失を与える可能性があります。脆弱性に関する情報収集を習慣にして、必要に応じて専門家の力を借りながら、効果的な脆弱性対策を行うようにしてください。