最近のセキュリティに関する話題と資産台帳

共同代表の高橋です。
今回は「最近のセキュリティに関する話題と資産台帳」についてのコラムです。

年度末に始まりこの連休までの間に、セキュリティ関連の話題が世間を騒がせました。
その話題について、簡単にご説明すると、

【Apache Strutsの脆弱性】 
 Javaという言語を用いたソフトウェアを作成するための環境において、特定の命令をインターネットから送ってあげると、パスワードファイルなどが見えてしまうというものです。
 当初は、バージョン2.0の問題が指摘されていましたが、サポートが切れているそれより古いバージョンも同じような脆弱性があることが確認されました。
 また、オープンソースであることもあり、幅広く活用されていることも、騒ぎを大きくした要因です。
 政府においては、このためにe-Taxの一部やITパスポート試験のサイトを止めることになりました。

【Open SSLの脆弱性】 
 インターネットで取引をする際など、通信を暗号化してカード番号や個人情報を窃取されないようにすることが一般的になっています。
 このためのツールの一つがOpen SSLになります。
 しかしながら、通信は暗号化できたとしても、それを管理するサーバーソフトに脆弱性があると、そこから情報がダダ漏れになってしまいます。
 今回のOpen SSLが、まさにその例に該当し、称して「heartbleat(心臓出血)」と言われています。本来、血を送り出す心臓から出血していたら致命的です。
 これは世界中のあらゆるシステムで用いられているとともに、スマートフォンや機器の中に組み込まれていたりと、影響範囲が計り知れない状況になっています。
 ちなみに、日本では三菱UFJニコスなどが影響を受けたようです。

【Internet Explorer の脆弱性】 
 インターネットを閲覧する際に使用するのがブラウザです。そのブラウザについてWindowsに標準で組み込まれているのが、Internet Explorer (以下、「IE」と言います。)です。
 このIEにおいて、悪意のあるサイト等を閲覧することで、自動的にプログラムが実行され、
パソコンが乗っ取られたりすることがわかりました。発見当時において、既に攻撃が確認されており、多くのパソコンにIEが入っていることや、業務用の情報システムにおいてIEを使うことが多いことなどから大騒ぎとなりました。
 こちらは、影響範囲のすそ野も広く、インターネット閲覧禁止などの事態になってしまいました。

 このような事態は、それほど頻繁に起こることがなかったのですが、今回は立て続けに発生したものですから、内閣官房や各府省のLAN担当などは大騒ぎをして調査をしたところです。
 しかしながら、本当にこんな大騒ぎをしなければいけないのでしょうか。
少なくとも、自分の使っている基盤や情報システムはどのような構成になっているかを知っていれば、慌てて調査をする必要もありませんし、影響範囲の特定や対応策の手順などの立案も、落ち着いてできたところです。

 政府においては、平成19年度以来、各府省に情報システムの資産台帳を作成するようにしていたところですし、一昨年度においては、全省庁に対して情報システムの棚卸しを行ったところです。
 その際、自分たちに納品された情報システムの設計書をちゃんと確認しなかったのかもしれません。
 それはもしかしたら、契約事務取扱規則に定める、監督官業務(18条)や検査官業務(20条)
が確実に行われなかったことを意味するかも知れません。

 業務を行う上で、ネットワークやソフトウェアを活用することがほぼ必須になっている中で、自分たちが何を持っていて、それがどのように作られているかは、もう少し関心をもたないといけないと思います。
 そのための道具として、「資産台帳」を活用するのも一つの答えだと思います。

※ちなみに、上記の脆弱性に関する詳細情報は、以下をご参照下さい。

【Apache Struts関連】
Apache Struts2 の脆弱性対策について(CVE-2014-0094)(CVE-2014-0112)(CVE-2014-0113)

http://www.ipa.go.jp/security/ciadr/vul/20140417-struts.html

Apache Struts 2の脆弱性が、サポート終了のApache Struts 1にも影響
~国内でいまだ
大量稼働するStruts 1利用企業に、直ちに緩和策を~

http://www.lac.co.jp/security/alert/2014/04/24_alert_01.html

【OPEN SSL関連】
OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について

http://www.ipa.go.jp/security/ciadr/vul/20140416-openssl_webuser.html

OpenSSL の heartbeat 拡張に情報漏えいの脆弱性

http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-001920.html

OpenSSLの脆弱性について(2014年4月15日更新)

http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/vulnerability/01-openssl.html

【Internet Explorer 関連】
Internet Explorer の脆弱性対策について(CVE-2014-1776)

http://www.ipa.go.jp/security/ciadr/vul/20140428-ms.html

Internet Explorer 用セキュリティ更新プログラムの提供について

http://www.microsoft.com/ja-jp/news/Press/2014/May14/140502_updating_InternetExplorer.aspx