システム担当者としては脆弱性情報・アップデート情報を収集し、アップデートの告知をしなければいけない場面があります。もちろん社内でインストールしているソフトウェア、サービス全てに対して情報収集する必要がありますが、できるだけ早く、正確に収集する必要があります。また限られた時間の中でどこまで収集する必要があるのかなど悩ましいところです。ここではその落とし所を考えていきます。
脆弱性情報を収集しよう!
脆弱性情報を収集するといっても既知未知等無限にあるものをどこまで調査したらいいのかわかりません。ただでさえ忙しいのにキリがないというのが本音ではないでしょうか。
メジャーなものがまとまっているサイトであり、ここに載ってないなら仕方ないと言ってもらえるような公認サイトがあればいいのにと思う方も多いのではないでしょうか?
実はそんなサイトがあるんです。ズバリ! IPA:情報処理推進機構(https://www.ipa.go.jp/)です。
IPAは元々は経済産業省の外郭団体で情報セキュリティ対策の実現とIT人材の育成を目的に活動する独立行政法人です。基本情報技術者試験などを実施したり、脆弱性情報の発信をしてくれています。情報セキュリティ研修の材料等も提供してくれてたりしますが、それは別の機会にご紹介しますね。
脆弱性情報は以下からから確認できます。中段の「重要なセキュリティ情報」タブや「脆弱性対策情報【JVN】」タブを見てみてください。日に朝夕2回ほど見て新着がないかチェックすると対応が遅れることはないと思います。
無料の脆弱性チェックツール導入を検討しよう!
IPAが無料で提供している最新かどうかバージョンチェックしてくれるツールをご存知でしょうか?MyJVNチェッカー for .NETといいます。もちろん各パソコン等にインストールされている全てのソフトウェアのバージョンを見てくれる訳ではありませんが、メジャーどころはカバーしてくれています。
ユーザー自身に使ってもらうツールなので頻繁に依頼するのは難しいと思います。そこで毎月あるWindowsUpdate後に合わせて使ってもらう運用がいいと思います。最新バージョンでないと判定されたらそのタイミングでアップデートしてもらう流れです。一度インストールして動かしてみてください。
※既に攻撃が確認されているような脆弱性については、アップデートによる不具合がないか確認して即時告知することをお勧めします。
さいごに
兼任であることも多いシステム担当者は日々多忙です。そんな忙しいシステム担当者が脆弱性情報の調査というキリのない業務に無尽蔵に時間を使えません。効率的に且つある程度のレベルでフォローするにはコツが必要です。
今後も少しでもシステム担当者のミカタになれるように今後も実務に有益な情報を発信していきますのでよろしくお願いします。
