注目の記事

IT 担当者ならみんな読みたい!! セキュリティ情報サイト5選

2019.12.14

「セキュリティ情報ってどこから仕入れたら良いんだろう?」

って思ったことありませんか?今回は私が日常的に確認している、おすすめのセキュリティ情報サイトを紹介します。最後には読み方のポイントも紹介します!

それでは早速やっていくっ!!

今回紹介するサイト

以下の5サイトを紹介します。

  1. IPA
  2. JVN
  3. Security NEXT
  4. Amazon Linux Security Center
  5. Security Bulletins

1. IPA

重要なセキュリティ情報一覧

IPA の説明を Wikipedia より引用。

独立行政法人情報処理推進機構(じょうほうしょりすいしんきこう、英: Information-technology Promotion Agency, Japan、略称:IPA)は、日本におけるIT国家戦略を技術面、人材面から支えるために設立された、経済産業省所管の中期目標管理法人たる独立行政法人である。

IPA は紹介するセキュリティ情報発信だけではなく、情報技術者試験や情報処理安全確保支援士などの試験を実施しています。試験は特に認知度が高いでしょう。

重要なセキュリティ情報一覧 では、脆弱性情報が発信されています。脆弱性情報サイトは多々ありますが、本ページにて扱われているの脆弱性情報は極めて重要なものが多い印象です。自分の環境で使っている製品があったら必ず確認しましょう。

※追記すべき情報がある場合には、その都度このページを更新する予定です。

情報が不足している場合は、上記の通りページが更新される場合があるので、数日後に再確認してみましょう。もしくは参考情報のリンク先の製品ベンダサイトを見ると良いです。

2. JVN

JVN

JVNの説明は 公式サイト より引用。

JVN は、"Japan Vulnerability Notes" の略です。日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供し、情報セキュリティ対策に資することを目的とする脆弱性対策情報ポータルサイトです。脆弱性関連情報の受付と安全な流通を目的とした「情報セキュリティ早期警戒パートナーシップ」に基いて、2004年7月より JPCERT コーディネーションセンター と独立行政法人情報処理推進機構 (IPA)が共同で運営しています。

前述の IPA と同様に脆弱性情報が発信されています。他の脆弱性情報サイトと比較して、様々な製品について幅広く発信されている印象です。

また、こちらのページも情報更新される場合があるので、情報が不足している場合は数日後に再確認してみましょう。

3. Security NEXT

Security NEXT

Security NEXT については Security NEXTのご紹介 を参照。

こちらのサイトでは、以下のような様々な情報が発信されます。

  • 脆弱性情報
  • 偽メール情報
  • セキュリティ被害事例
  • セキュリティ関連の統計情報
  • セキュリティ関連のイベント情報

偽メール情報は社内への注意喚起に利用できますし、セキュリティ被害事例は自社のセキュリティ環境を見直すキッカケにできます。他のセキュリティ情報サイトと比較して、コンテンツに富んでおり、最新のセキュリティ動向を知る上では必読な印象です。

4. Amazon Linux Security Center

Amazon Linux Security Center

「やはり弊社のブログには AWS の記載が欠かせない!!」ということでAWSのセキュリティ情報サイトの紹介です。こちらでは、Amazon Linux 及び Amazon Linux 2 に関する脆弱性情報が以下のカラムで整理されて発信されます。

  • Date Created
  • ALAS
  • Severity
  • Packege
  • CVE(s)

ALAS では以下の情報を確認できます。

  • 脆弱性の概要
  • 影響を受けるパッケージ
  • 対策方法

CVE(s) では以下の情報を確認できます。

  • 細かいレベルの脆弱性の概要
  • CVSS 値(脆弱性の深刻度を評価する基準)

これらの情報を参照して、作成した EC2 のバージョンアップデートを定期的に行い、攻撃者に脆弱性を悪用されないように最新の状態に保っておきましょう。

5. Security Bulletins

Security Bulletins

最後も AWS のセキュリティ情報サイトです。こちらでは、AWS サービスに関係する脆弱性情報が発信されます。各脆弱性情報を開くと、以下について確認ができます。

  • AWS サービスが脆弱性の影響を受けるか
  • CVE 番号
  • 脆弱性概要
  • 対策方法

No matter how carefully engineered the services are, from time to time it may be necessary to notify customers of security and privacy events with AWS services.

上記の通り、「サービスがどれほど注意深く設計されていても、セキュリティ情報発信が必要になる場合がある」と明記されているので、サービスを過信せず、当該ページでセキュリティ情報を確認してしっかり対策しましょう。

セキュリティ情報サイトの読み方

ここまで、IT 担当者なら読んでおきたいセキュリティ情報サイトを紹介しました。ただ、「読み方が全然分からない!!」という方がいるかもしれないので、私なりの読み方を紹介したいと思います。今回は脆弱性情報を読む際のポイントに絞って紹介します。

脆弱性情報を読む際の重要なポイントは以下の3つです。

  1. 自社のリソースには影響するの?
  2. どれくらい深刻なの?
  3. どうやって対策したら良いの?

1. 自社のリソースには影響するの?

まずは自社のリソースが脆弱性の影響を受けるかを識別する必要があります。具体的には以下を確認します。

  • 製品名
  • 影響を受けるバージョン

一見簡単そうに聞こえますが、自社のリソースの構成管理ができていないと、「自社は関係ないと思ってたのに、実は利用していて攻撃者から脆弱性を悪用されてしまった!」なんてことが発生します。

近頃は、 FutureVuls など自社リソースの脆弱性の可視化を支援してくれるサービスもあるので積極的に導入しながら識別しましょう。

2. どれくらい深刻なの?

次いで自社のリソースが脆弱性の影響を受けると判明したら、脆弱性の深刻度を確認する必要があります。具体的には以下を確認します。

  • CVSS値
  • 想定される影響
  • 攻撃者がどこから悪用可能か
  • 悪用事例の有無

CVSS値

共通脆弱性評価システムCVSS概説

CVSS は、情報システムの脆弱性に対するオープンで汎用的な評価手法であり、ベンダーに依存しない共通の評価方法を提供しています。CVSSを用いると、脆弱性の深刻度を同一の基準の下で定量的に比較できるようになります。また、ベンダー、セキュリティ専門家、管理者、ユーザ等の間で、脆弱性に関して共通の言葉で議論できるようになります。

CVSS値を一言でいうと、各脆弱性の深刻度を共通の基準で評価した値になります。これによって内容の異なる脆弱性でも深刻度を分けやすくなります。

CVSS値は自分で計算することも可能ですが、紹介したサイトや製品ベンダのサイトに掲載されることがあるので、そちらを参照すると良いでしょう。ちなみに私の場合、 CVSS 値がどのサイトでも出てない時は、 Red Hat で検索することが多いです(比較的、CVSS値が早く掲載される印象)。

想定される影響

脆弱性の概要や詳細から想定される影響を確認します。例えば、任意のコード実行が可能と記載があれば、非常に危険なので優先度をあげます。

攻撃者がどこから悪用可能か

こちらも脆弱性の概要や詳細から想定される影響を確認します。例えば、ネットワーク越しに攻撃可能と記載があれば、非常に危険なので優先度をあげます。

CVSS値 内の項目にある攻撃元区分(AV)で確認する方法もありますね。

JVN

悪用事例の有無

悪用事例があるということは、攻撃コードが出回っている可能性も高く、脆弱性を悪用される可能性が非常に高くなります。悪用事例がある場合は、前述の基準で深刻度が低い場合でも、優先度をあげる検討が必要です。


以上、4つほど脆弱性の深刻度判断基準を示しましたが、「深刻度などを考えずに、全部アップデートすれば良いじゃん!」って思う方もいるかもしれません。

しかし、アップデートがアプリケーションに影響しないかなど検証をする必要があり、それだけでもたくさんの工数がかかります。さらに脆弱性は日々出てくるので、脆弱性の深刻度を元に優先順位を付けなければ対応しきれません。

上記の脆弱性の深刻度基準を組み合わせて、優先順位をどのように設定するかは会社によって様々だと思いますが、迅速な対応の為に脆弱性対応基準を準備しておくことは重要です。

3. どうやって対策したら良いの?

脆弱性の対応優先順位を付けたら、対策を確認します。対策は主に恒久対策と暫定対策に分けられます。

恒久対策

べンダーが提供する修正プログラムを適用することです。基本的にはこちらを検討しましょう。

暫定対策

恒久対策がまだ出ていなかったり、すぐに恒久対策ができない事情がある場合にレジストリなどの設定を変更して対応する回避策です。どうしても恒久対策ができない場合の一時的な対応と認識しておきましょう。

まとめ

IT担当者は、以下の5サイトを読もう!

  1. IPA
  2. JVN
  3. Security NEXT
  4. Amazon Linux Security Center
  5. Security Bulletins

上記のサイトを確認する時は、以下の3つを意識しながら読んでみよう!

  1. 自社のリソースには影響するの?
  2. どれくらい深刻なの?
  3. どうやって対策したら良いの?

最後に

いかがだったでしょうか。セキュリティ担当者でない人は、紹介した記事を毎日細かくチェックするのは難しいかもしれないですが、週末にザックリでもまとめて読んでもらえると良いかなと思います!

以上!筧( @kak888881 )でした!

更新履歴

  • 2019/12/17 一部リンクを訂正いたしました