活用ガイド 〜攻撃状況や組織の環境を踏まえた脆弱性対策について〜
脆弱性は日々公開されており、時間の経過とともに攻撃により被害に遭うリスクは増大していきます。被害を回避するためには、「リスクを考慮し優先度を付けて対策をする」、「迅速な対応を実施する」ことが重要です。以下に、対策を実施するにあたり、参考となる情報を記載します。優先度を付けた対策の実施
脆弱性を悪用する攻撃の多くは既知の脆弱性を狙います。このため被害に遭うリスクを低減するためには既知の脆弱性を解消しておくことが重要です。下図はJVN iPediaに登録されている全ての脆弱性対策情報を、攻撃の有無や自組織が利用するソフトウェア、といった観点で分類をしたものです。システム管理者は、事例にあるツールなどを使用して迅速な情報の入手と対策の実施を行ってください。事例1. 危険度の高い脆弱性に絞って対策をする場合
-
IPAでは、危険度や緊急度が高いセキュリティ上の問題と対策を「重要なセキュリティ情報」として公開しています。
危険度の高い脆弱性に絞って対策をすることで被害に遭うリスクを大幅に低減することが可能になります。
自組織に関係する情報を入手した場合には可能なかぎり早期の対策実施をご検討ください。
【運用】
@ IPAが公開する「重要なセキュリティ情報」を閲覧して、記載内容の掲載日付を参考に、新規の情報が掲載されているかをチェックします。
(チェックするURL https://www.ipa.go.jp/security/announce/alert.html)
A 新規の情報がある場合には、詳細内容をチェックして、脆弱性の対象となっているソフトウェア及びバージョンが自組織のシステムで利用されていないことを確認します
B 脆弱性の対象になるソフトウェア及びバージョンが自組織のシステムで利用されていた場合には、「対策」欄を参考にして可能なかぎり早期の対策実施を検討してください
【補足】
サイバーセキュリティ注意喚起サービス「icat」を利用することにより、自組織のポータルサイト上などでもIPAが公開する「重要なセキュリティ情報」をリアルタイムに確認することが可能です
詳細は、https://www.ipa.go.jp/security/vuln/icat.html をご参照ください
事例2. 自組織で利用するソフトウェアの情報をフィルタリング収集する場合
-
大量の脆弱性情報から自組織に関連する情報を抽出することは非常に多くの手間がかかります。
IPAでは、自組織で利用するソフトウェアの情報をフィルタリング収集可能な「MyJVN 脆弱性対策情報フィルタリング収集ツール」を公開しています。
システム管理者は、このツールを利用することで必要な情報だけをチェックできるため、より迅速な情報収集が可能になります。
【事前準備】
@ MyJVN 脆弱性対策情報フィルタリング収集ツールのページを開き、パッケージをインストールします。
(URL https://jvndb.jvn.jp/apis/myjvn/mjcheck4.html)
事例3. アドバイザリ内のCVE番号から脆弱性の詳細を確認する場合
-
ニュース記事やセキュリティアドバイザリなどから、攻撃に悪用されている脆弱性の詳細を確認する際に
JVN iPediaの検索機能を利用すると知りたい脆弱性対策情報の詳細を確認できます。
【利用例】
@ アドバイザリや注意喚起文面に記載されているCVE番号を確認します
A JVN iPedia トップページ(https://jvndb.jvn.jp/)から、CVE番号を指定して検索します
B 検索をしたCVE番号と記載内容が一致した脆弱性対策情報の一覧が表示されます。検索結果をクリックして内容の詳細を確認してください。 ※検索に関する説明は、「JVN iPedia 検索の使い方」もご参照ください。
【補足】
Twitterアカウント(@JVNiPedia)をフォロー閲覧することにより、最新の脆弱性対策情報を確認することが可能です
詳細は、https://www.ipa.go.jp/security/vuln/twitter_policy.html をご参照ください
サービス一覧
- 脆弱性対策情報
サイバーセキュリティ
注意喚起サービス icatIPAが公表する情報。危険性が高いセキュリティ上の問題と対策を公開
MyJVN 脆弱性対策情報
フィルタリング収集ツールフィルタリング条件指定によりJVN iPediaの情報を効率的に収集可能
検索機能(JVN iPedia) 検索キーワード等による脆弱性対策情報の閲覧・検索が可能
データフィード JVN iPediaに蓄積、公開している脆弱性対策情報および関連データを公開
- Twitterによる情報発信
ICATalerts IPAによる情報提供「重要なセキュリティ情報」を発信
MyJVN サーバやPCクライアントのソフトウェア情報を発信
JVN iPedia 脆弱性対策情報データベースJVN iPediaの公開情報を発信
- MyJVN バージョンチェッカ
Windows PC 用 ソフトウェアのバージョンが最新かを確認
- その他
CVSS 計算ソフトウェア 脆弱性の深刻度を同一の基準の下で定量的に比較することが可能
MyJVN API JVN iPediaの情報をWebを通じて利用するためのソフトウェアインタフェース
更新履歴
2024年11月29日 誤記修正
2020年10月21日 サービス一覧を見直し
2018年04月12日 記載内容、サービス一覧を見直し
2018年02月21日 サービス一覧を見直し
2013年10月31日 記載内容全般を見直し.
2013年09月26日 新規.