SIDfm head title

セキュリティ監査での指摘事項を SIDfm で解決する方法

対象者 システムエンジニア向け、管理者向け

キーワード セキュリティ監査, 共通脆弱性識別子 CVE, 共通脆弱性評価システム CVSS

QUESTION 社内セキュリティ監査でシステム部門より自部門で管理しているサーバの脆弱性を指摘された。しかし、その脆弱性がどのような内容で、どのようなリスクがあり、どのように対処すべきかわからない。このようなケースに、SIDfmを活用し解決するまでを紹介します。

自部門で管理しているサーバの脆弱性を指摘される

『先日実施したセキュリティ監査の結果を送ります。指摘事項については、適切に対処してください。詳細は添付ファイルを御覧ください。』システム部門からこんな内容と共に以下のファイルが添付されたメールが届いた。実は、この添付ファイルの内容は、先日システム部門がセキュリティ診断ツールを用いて実施したセキュリティ監査結果です。システム部門はこの監査結果を共に、各部門に対して各部門で管理しているサーバのセキュリティ対策を求めてきました。

セキュリティ診断ツール(Nessus)によるレポート例
『51892 (1) - OpenSSL SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG Session Resume Ciphersuite Downgrade Issue』

まずは、セキュリティ内容の把握です

▶ セキュリティホールを特定するには

OSやアプリケーションのセキュリティホールは、米国政府の支援を受けた非営利団体のMITRE社が採番している共通脆弱性識別子CVE(Common Vulnerabilities and Exposures)により一意に識別されます。ほとんどのセキュリティ診断ツールは、このCVE識別番号(CVE-ID)に対応しており、またSIDfmもこれに対応しています。CVE識別番号(CVE-ID)により、セキュリティ診断ツールが指摘したセキュリティホールとSIDfmのセキュリティホール情報を結びつけることができます。
まずは、レポートの中からCVE識別番号(CVE-ID)を見つけてください。

セキュリティ診断ツール(Nessus)によるCVE識別番号(CVE-ID)の表示例 CVE-2010-4180

▶ SIDfmはCVE識別番号ですぐにセキュリティホール情報を検索できます

次に、SIDfm で、CVE識別番号(CVE-ID)を検索します。
SIDfm は、画面のヘッダ部分にCVE識別番号での検索窓を常時表示しています。検索窓は、CVE識別番号とSIDfmIDの検索に特化しているので、高速な検索が可能です。

各ページの右上に配置されたCVE識別番号(CVE-ID)検索窓(拡大、MySIDページでの例)

CVE識別番号が複数のセキュリティホール情報に含まれる場合でも、一覧に表示されたセキュリティホールのタイトルから目的のコンテンツにたどり着けます。

CVE-2010-4180 の検索結果(CVE-2010-4180が含まれるすべてのコンテンツを表示)

対処すべきセキュリティホールなのか?リスクを正確に評価

次に、特定したセキュリティホールのリスク評価を行います。
SIDfmのコンテンツは、CVE識別番号にひも付けされた共通脆弱性評価システム CVSS ( Common Vulnerability Scoring System) を採用しています。共通脆弱性評価システム CVSSは、ベンダーに依存しない情報システムの脆弱性に対するオープンで包括的、汎用的な評価手法です。共通脆弱性評価システム CVSSを用いると、共通の評価方法で脆弱性の深刻度を定量的に比較できるようになります。
SIDfmのセキュリティホール情報は、この共通脆弱性評価システム CVSSをその詳細まで分かりやすく表示しています。セキュリティ監査によって指摘された脆弱性が、どのようなリスクを抱えているかをひと目で評価できます。また同時に、セキュリティホールの内容が日本語で分かりやすくまとめられているので、セキュリティホールに対する理解が容易にスピーディに可能です。

CVE-2010-4180 の詳細表示
大きな数字で総合的なリスクを評価し、更に詳細な項目で個別の脅威を評価できます。

修正プログラムに直接リンクだから迷わず修正

セキュリティホールのリスク評価の結果、修正を行わなければならないセキュリティホールと判断したセキュリティホールを修正します。
SIDfmのセキュリティホール情報は、セキュリティが修正されたパッケージの情報やアプリケーションの情報をそれらへのリンクと共にまとめています(例外あり)。リンクがあるので、セキュリティが修正されたパッケージの情報やアプリケーションの情報へ迷うこと無く辿り着くことができます。
また、修正パッケージや修正プログラムを適用することなく、アプリケーションの設定やルータなどのネットワーク機器の設定による回避方法も記載していますので、修正パッケージや修正プログラムを適用できない際の暫定的な回避処置を取ることも可能です(例外あり)。

CVE-2010-4180 の修正表示
修正プログラムへの直接リンクなので修正プログラムの選択に迷いません。