2018/11/30

2018年上半期 診断結果にみる情報セキュリティの現状(1)
Webアプリケーション診断

  • シェア
  • このエントリーをはてなブックマークに追加

DNPが各種セキュリティサービスで協業するプロフェッショナル企業、株式会社ブロードバンドセキュリティ(以下 BBSec)によるセキュリティレポート(SQAT® SECURITY REPORT 2018年10月号)が、10月9日に公開されました。今回のコラムでは、同レポートに掲載されている、2018年上半期(1~6月)の診断結果を踏まえ、Webセキュリティの現状について、BBSecのセキュリティサービス本部 大塚様にお話しを伺いました。

【目次】
  • 85.3%に脆弱性、17.2%がリスクレベル「高」以上
  • 診断結果にみる業界別現状分析

株式会社ブロードバンドセキュリティ
セキュリティサービス本部
セキュリティ情報サービス部
品質管理1課
課長 セキュリティアナリスト

大塚 秀幸 様

  • 所属・肩書などは、2018年11月時点のものです

85.3%に脆弱性、17.2%がリスクレベル「高」以上

―診断を実施するシステムのほとんどに脆弱性があるものなのでしょうか。

大塚 2018年上半期は85.3%から脆弱性が検出されました。2017年上半期は90.3%でしたので、それに比べると微減していますが、依然として高い割合です。また、検出された脆弱性のうち17.2%が、早急に対処が必要なリスクのある「高」レベル以上の脆弱性でした。

システム脆弱性診断 脆弱性検出率

システム脆弱性診断で用いるリスクレベル基準

―検出された脆弱性で、何か気になる点などありましたか。

大塚 システムに使用されているプログラミング言語やミドルウェア、CMSなどのコンポーネントについて、バージョン・パッチ管理が徹底されていない問題が、約2割検出されました。このうち、PHP、Apache、Apache Tomcat の3つが約7割を占めています。さらに、サポート終了もしくは終了間近のコンポーネントを使用しているシステムが、約5割存在しています。たとえばPHPの5.6系は、2018年の年末にサポートが終了する予定です。

バージョンパッチ管理の問題(Webアプリケーション診断) 検出されたコンポーネント内訳

サポート状況一覧表

―サポートが終了したシステムコンポーネントを使い続けると、具体的にはどんなリスクがありますか。

大塚 まず、新たに発見される脆弱性への対策が困難になります。また、製品のバージョンによっては既知の脆弱性を悪用するプログラムが公開されている場合もあり、攻撃者に対して無防備な状態となる可能性があります。さらに、攻撃を受けた場合には、被害者になるだけで済むとは限りません。脆弱性のある製品を使用しているシステムを踏み台とした攻撃が実行され、意図せずサイバー攻撃の加害者になってしまうこともあります。

先ほど、PHPの5.6系が、2018年末にサポートが終了する予定であるという話をしましたが、サポート終了間近のバージョンのPHPを使用していることに12月になってから気づいて、バージョンアップを試みようとしても、システム上、運用上、経営上の制約などで、サポート終了日までにバージョンアップを完了できないかもしれません。そうした場合、サイバー攻撃が増える傾向にある年末年始の時期に、不安・リスクを抱えながら、サービスを運用せざるを得ない状況となる可能性があります。

―まずは、運用中のシステムコンポーネントのバージョンを把握することが重要になりますね。

大塚 はい。定期的に、バージョンの有効期限をベンダーのホームページ等で確認し、つねに最新のバージョンに更新すること。これが、システムを守るためには大変重要です。とはいえ、バージョンアップの実施には、システムの大幅な改修が必要になるなど、さまざまな要因によって、完璧な対策が困難である場合が多いことも事実です。このため、最新バージョンに更新されないまま放置されるコンポーネントが存在すると考えられます。

バージョンアップが難しい状況にあるならば、セキュリティパッチを適用したり、ベンダーやセキュリティ機関が発表するワークアラウンドを適用するなど、できる限りの対応を推奨いたします。せめて、使用コンポーネントとそのバージョンは把握し、運用中のシステムが許容するリスクについては、正確に認識・管理しておく必要があります。

脆弱性を内包するコンポーネントが放置された状態は、攻撃者にとって格好の標的となり得ます。より早い検知と対策を行うためにも、バージョンアップの影響が出ないようなシステムを構築することが、有効かつ根本的な対策といえるでしょう。

診断結果にみる業界別現状分析

―診断の結果から、業種ごとの傾向も確認できたのでしょうか。

大塚 SQAT® SECURITY REPORTでは、「入出力制御」「認証」「セッション管理」「重要情報の取り扱い」「システム情報・ポリシー」の5つの項目ごとに、検出された脆弱性をリスクの重大性で評価し、業界別に分類してレーダーチャート化しています。2018年10月号では、2018年上半期の診断結果について、「金融・保険業」「製造業」の2業種をピックアップして傾向分析を行いました。

診断実績(業界別割合)

レーダーチャートの見方

【金融・保険業】

―金融・保険業はセキュリティレベルが高い印象がありますが、実際はどうでしょうか。

大塚 はい。金融・保険業に関しては、セキュリティレベルが比較的高い傾向がみられました。
たとえば、「入出力制御」に関する項目では、業種を超えた全体的な傾向としては、早急に対応が望まれる「高」リスクレベル以上の脆弱性が、多く検出されていますが、金融・保険業では、概ね対応がなされています。

レーダーチャート

しかし、比較的堅牢な金融・保険業のシステムであっても、毎回100点の診断結果が得られるわけではありません。DoS/DDoS攻撃といったサービス運用妨害や情報漏洩、アクセス制限回避等の被害につながる脆弱性が検出されることもあります。ただ、金融・保険業では、多くの組織で対応が早いのが特長で、最初の診断で脆弱性が検出されたとしても、再診断を行う際には、少なくとも「中」リスクレベル以上の脆弱性への対処が完了しています。

―他業種に比べて、検出された脆弱性への対応が早いのはなぜでしょう。

大塚 金融庁の安全対策基準やクレジットカード業界におけるセキュリティ基準であるPCI DSS等に準拠している、または準拠しようとしているシステムが多いことが理由の1つにあると思います。こうした基準に準拠していない場合、サービスの運用・継続自体ができなくなったり、インシデントが発生した際の責任や罰が重くなる可能性があるため、コンプライアンス面を最重要視して取り組む組織が少なくありません。

システムごとの脆弱性の検出割合をみると、2017年の上半期に全システムの96%で何らかの脆弱性が検出されていたのが、2017年下半期にはその割合が74.2%に減少し、さらに今期は70.5%と継続して減少しています。金融・保険業全体としてセキュリティ意識が高まっている表れと言えます。金融・保険業は、セキュリティ事故が起きた場合、影響力・影響範囲が非常に大きいですから、経済産業省や金融庁などから出されるガイドラインを参考に、より一層、攻撃に対して堅牢なシステムを構築・維持することが求められます。

脆弱性検出割合の推移

金融業におけるセキュリティガイドライン(例)

【製造業】

―では、製造業の方はいかがでしょうか。

大塚 入出力制御に関する項目のレーダーチャート値が、全業種の平均値より低い結果となりました。これは、早急な対応が望まれる「高」リスク以上の脆弱性の検出割合が多いためで、とくに、当社で定めるリスクレベルとしては深刻度で上から2番目である「重大」レベルの脆弱性が多く検出されました。入出力制御における脆弱性の75%が「重大」レベルだったのです。

レーダーチャート

たとえば、クロスサイトスクリプティングやHTMLタグインジェクションといった脆弱性がその代表例です。これらは、悪用された場合に任意のプログラム実行、悪質なページへの誘導、コンテンツの改ざんといった影響を受ける可能性があるため、適切な対応が求められます。

また、そのほかの傾向としては、システム情報・ポリシーに関する項目の検出数の割合が多く、サポートが終了、あるいは、既知の脆弱性が存在するバージョンのOSやアプリケーションなどの使用、あるいは使用の可能性も含め、検出されています。これらを放置していると、攻撃に対して脆弱な状態となってしまうため、最新バージョンへのアップデートや、セキュリティパッチの適用が求められます。

脆弱性分布

―今日の製造業の制御系システムは、安全性が低下しているという論調が盛んですが、いかがでしょうか。

大塚 従来、製造業の制御系システムは、インターネットに接続されていない閉鎖系システムであるために安全とされてきました。しかし最近では、攻撃を受けやすい環境に変わりつつあります。制御系システム機器に汎用OSを使用する、通信プロトコルに標準プロトコルを採用するといった動きが進む一方で、製造業はセキュリティ要素の中でも可用性に重きを置く傾向があり、なかなかOSの更新・パッチ適用がしにくいのです。たとえば、パッチを当てるにしても、操業を計画的に停止する必要があります。

この1年ほどの間に国内で起こったセキュリティインシデントの中から、製造業に関連する事案をまとめてみたのですが、セキュリティパッチの適用が遅れてWebサーバの脆弱性を突かれることで、顧客情報の流出が起きたり、工場の生産停止にまで追い込まれたりするケースもありました。

2017-2018重大インシデント(抜粋)

製造業においては、生産に直接関係のあるシステムが停止した場合、多大な損害につながる危険性があります。大規模な工場では損害が数億、数十億の単位になるかもしれません。海外では、すでに、データ消去や石油プラントの操業停止などの被害が起こっています。

また、情報漏洩に関しては、顧客情報だけでなく、営業秘密にも留意する必要があるでしょう。たとえば、新しく開発される商品に関する情報などが、ライバル企業に漏れ、先に開発・販売されてしまった場合、市場における優位性や競争力が損われる可能性があります。海外の製造拠点が感染源となり、被害が数ヶ国にまたがるというのは、決して珍しいことではありません。

―もはや、制御系といっても安心できないのですね。
大塚様、どうもありがとうございました。
SQAT® SECURITY REPORTには、Webアプリケーション診断結果の詳細、業界別の診断結果レーダーチャートのほか、さまざまなセキュリティトピックが掲載されています。本レポートは、[SQAT® SECURITY REPORT]よりダウンロードいただけます。

*SQAT® SECURITY REPORTでは、計14業種のレーダーチャートを紹介しています。ぜひ、ご覧ください。

「脆弱性診断ソリューション」のお問い合わせはこちら(別ウィンドウで開く)

人気の記事