「VPNは更新した」で、その次は？ Excelから始める現実的な脆弱性対策：愛提興産の佐藤さんと学ぶ！ 明日からできる中小企業のセキュリティ再建計画

「脆弱性対策」と聞くと、専門的な開発知識や高度なツールが必要だと思いがちだ。だが、中小企業がまず取り組むべきことは、自社にある機器やソフトウェアを正しく把握し、更新漏れを防ぐ仕組みを作ることだ。

[名須川竜太，キーマンズネット]

　専任情シス不在の中小企業で孤軍奮闘する総務部の佐藤さん。「脆弱（ぜいじゃく）性対策」という言葉に難しさを感じながらも、佐藤さんは、自社で利用している機器やソフトウェアの現状を正確に把握することこそが、セキュリティ対策の第一歩であると気付く。高度な開発知識が必要だと思い込んでいた脆弱性対策。その第一歩は、実は社内に存在するIT資産を正確に把握する、全社規模の“持ち物検査”だった。

　今回は、高度なITスキルや専門的な開発知識が不可欠と思われがちな脆弱性対策について、その本質を整理する。併せて、人的リソースが不足しがちな中小企業でも取り組める、IT資産の棚卸しやシステム更新管理の具体的な進め方を紹介する。

本連載について

架空の中小企業「愛提興産（あいていこうさん）」を舞台に、情報システム担当を兼務する総務部係長・佐藤さんの視点から、限られた人員でも実践できる現実的なセキュリティ対策の立て直しを考える。

VPNの先にある膨大な機器……兼務情シスが震えた実態

　「脆弱性対策、ちゃんとやっておいてくださいね」──取引先との打ち合わせの最後に、サラッと言われた一言が頭から離れなかった。席に戻った佐藤は、何となくその言葉を検索してみる。すると出てきたのは、見慣れない英単語や専門用語の数々だった……。

　「脆弱性対策って、開発の知識が必要なのかな？　これはプログラマーの仕事なのでは？」

　思わず画面にツッコミを入れる佐藤。愛提興産に開発部門はない。業務システムは市販のパッケージ製品やクラウドサービスを利用しており、他にはネットワーク機器や従業員が使うPCとスマートフォンがあるだけだ。システム開発のような仕事とは無縁だ。

　さらに調べていると、「脆弱性とはソフトウェアや機器の“欠陥”であり、それを直すにはベンダーが提供する修正プログラム（パッチ）を当てる必要がある」という説明が目に入った。

　「なるほど。この間、次世代ファイアウォールのVPN機能の脆弱性のニュースを見て、慌ててアップデートしたアレのことか」

　佐藤は少し前に社内ネットワークの入り口であるVPNの設定を見直し、OSを最新版にアップデートした苦労を思い出していた。

　「……ん？　ちょっと待てよ。VPN機能は最新の状態にしたけど、うちの会社にある他の機器やソフトって、今どうなってるんだ？」

　すぐに思い付くだけでも、ファイルサーバとして使っているNASや無線LANルーター、従業員のPCに入っているOSや業務ソフトなどが思い浮かぶ。これらのメーカーや型番、バージョン、最後にいつアップデートしたかを、全て把握している者など誰もいないだろう。

　「つまり、うちの会社が持っているものをちゃんと把握して、全てを最新の状態にしておけってことか」

　思っていたよりもずっと現実的で、なおかつ途方もない作業に思えた。

　「これは全社規模の“持ち物検査”だな」

　誰が何を持っているのかを把握して、危ういものがあれば対処する──理屈はシンプルだが、実際にやるには社内の機器やソフトを全て調べ上げる必要があり、骨が折れそうだ。

※イメージ画像（Nano Bananaで生成）

　「でも、やらないとまずいよね、これは……」

　そうつぶやきながら、佐藤は機器とソフトの一覧をどう作ろうか、頭を悩ませ始めた。

「社内網だから後回し」が命取りに　パッチ適用の優先順位

　脆弱性対策と聞くと、プログラムの不具合を修正するような高度な技術作業をイメージするかもしれない。だが、システムを内製していない中小企業にとって、脆弱性対策の第一歩は社内ネットワークに接続されている機器や、利用しているOS、業務ソフトウェアなどのIT資産を正確に把握し、常に最新の状態へ維持することにある。以降の解説は、フォーティネットジャパンでフィールドCISOを務める登坂恒夫氏の話を参考にしている。

著者プロフィール：登坂 恒夫（とさか つねお）

2021年9月、フォーティネットジャパンにマーケティング本部 Field CISOとして入社。情報セキュリティ全般を通して、ユーザー企業の情報セキュリティ責任者に対して技術や脅威などの動向をお伝えするとともに、情報セキュリティ責任者との意見交換を通じて課題解決に向けた取り組みを支援する。フォーティネットジャパン入社前は、IDC Japanにおいて10年以上国内のセキュリティ市場調査アナリストに従事。国内のセキュリティ市場全般に深い洞察を持つ。これまでに、SE業務、コンサルティング業務、サポート業務と幅広くIT業務を20年以上にわたり経験。

　業務で利用するソフトウェアやネットワーク機器には、機能改善やリリース後に発見された不具合や脆弱性への対応として、ベンダーから定期的に更新プログラム（パッチ）が提供されている。導入時点で安全性が確保されていたとしても、サイバー攻撃の手法は日々変化しており、時間の経過とともに新たな脆弱性が発見されることは避けられない。

　昔は、業務システムをインターネットから切り離した社内ネットワーク（クローズドネットワーク）で運用するケースが一般的だった。そのため、「外部から接続できない環境なら安全」という考えから、古いソフトウェアを更新せずに使い続ける運用も珍しくなかった。

　だが現在は、VPNの利用やクラウドサービスの活用が浸透したことで、社内ネットワークとインターネットの境界は大きく変わった。以前は安全だと思われていた古いソフトウェアでも、ネットワーク環境の変化によって外部からアクセスできる状態になれば、サイバー攻撃の標的になる可能性がある。

　また近ごろでは、PCだけでなく、業務機器やネットワーク機器にもOSやソフトウェアが組み込まれている。佐藤さんが更新したVPN機器もその一つであり、インターネットや社内ネットワークにつながる機器は全て管理対象と考えなければならない。

　だからこそ脆弱性対策では、まず「社内でどのような機器やソフトウェアが使われているのか」を正確に把握することが重要だ。その上で、必要なアップデートを継続的に適用できる管理体制を整えることが、サイバー攻撃から企業を守る基本となる。

「ベンダーに丸投げ」がIT資産管理を難しくする

　自社のIT資産を正確に把握し、適切なタイミングでパッチを適用していくことは、決して簡単な作業ではない。特に中小企業でIT資産管理が難しくなる理由として、大きく「社内での独自導入」と「外部業者への依存」の2つが挙げられる。

　1つ目は、各部門が必要に応じて独自にソフトウェアやクラウドサービスを利用しているケースだ。例えば、購入したパッケージソフトを業務用PCへインストールしたり、担当部署が独自の判断でSaaSを契約したりする「シャドーIT」がこれに該当する。情報システム担当者がその存在を把握できていなければ、バージョン管理やセキュリティ更新の対象から漏れ、気付かないうちにセキュリティリスクを抱えることになる。

　2つ目は、ネットワーク機器やセキュリティ製品の導入後の管理を、販売店やSIerなどの外部業者に任せきりにしてしまうケースだ。導入時の設定は専門業者が対応していても、継続的な保守契約がなければ、アップデートや脆弱性に関する情報を十分に受け取れない場合がある。また、自社で利用している機器の構成や設定内容を把握していなければ、重大な脆弱性が公表された際にも迅速な対応ができず、古い状態のまま長期間使い続けてしまう恐れがある。

　こうしたリスクを防ぐためには、まずIT資産ごとの管理責任者を明確にすることが重要だ。企業では、会社が貸与するスマートフォンや携帯端末は総務部、ネットワーク機器は情報システム部門、業務で利用するソフトウェアは各利用部門というように、資産の種類によって管理担当が分かれていることも多い。

　重要なのは、「誰が、どのIT資産を管理し、更新やセキュリティ対応の責任を持つのか」を明確にすることだ。社内に存在するIT資産の範囲と管理体制を整理することが、継続的な脆弱性対策を実現するための第一歩となる。

Excelから始める資産管理と、漏れを防ぐ運用ルール

　管理担当者を明確にした後は、社内に存在する機器やソフトウェアの情報を集約した「IT資産台帳」を整備することが重要となる。

　IT資産管理ツールがあれば、ネットワークにつながっている端末やソフトウェア情報を自動的に収集し、パッチの適用状況までも一元管理できるため、運用負荷を大きく軽減できる。一方で、予算や人員の制約から専用ツールの導入が難しい中小企業では、まず「Excel」などの表計算ソフトを使って、手作業でも構わないので社内のIT資産を一覧化することから始めるのが現実的だ。

　ただし、IT資産台帳には社内システムの構成や利用中のソフトウェア情報など、攻撃者にとって有益な情報が含まれている。そのため、第3回で取り上げたID管理台帳と同様に、重要な管理情報として適切に保護する必要がある。台帳ファイルには強固なパスワードを設定し、閲覧・編集できる担当者を必要最小限に制限するなど、情報漏えいを防ぐ対策を徹底しなければならない。

　IT資産の状況を把握できたら、次の段階としてパッチ適用を進めていく。ただし、更新作業は情報システム担当者だけで完結するものではない。特にOSや業務システムの重要なアップデートでは、適用後に再起動が必要となる場合があり、その間はシステムが利用できず、業務に影響が出る可能性がある。

　そのため、パッチを適用する際は、情報システム担当者が業務部門の責任者と事前に調整し、業務への影響が少ない時間帯を選ぶなど、現場の状況を踏まえた計画的な対応が必要だ。

　また、PCのOS更新を従業員の判断だけに任せる運用にも注意が必要だ。「Windows Update」を後回しにした結果、適用漏れが発生するケースもある。

　脆弱性対策で重要なのは、更新が必要な端末を確実に把握し、確実に適用できる仕組みを整えることだ。管理者はIT資産台帳や管理ツールを活用して更新状況を継続的に確認し、未適用の端末には利用者への通知や対応期限を設定するなど、組織としてアップデートを完了させる運用ルールを整備することが重要だ。

レガシーシステムを守る「仮想パッチ」

　パッチは、ベンダーから公開された時点で、可能な限り速やかに適用することが基本だ。だが、独自にカスタマイズされた古い業務システムなどでは、パッチ適用によって既存の機能に影響が出たり、システムが正常に動作しなくなったりする可能性があるため、すぐに更新できない場合もある。

　そのような場合に、一時的な対策として活用できるのが仮想パッチだ。仮想パッチとは、ソフトウェアそのものを修正するのではなく、脆弱性を悪用しようとする攻撃通信をネットワーク上で検知・遮断することで、システムを保護する仕組みだ。第1回で佐藤さんが設定を見直し、有効化した次世代ファイアウォールの「IPS（不正侵入防止）」機能が、この役割を担っている。

　次世代ファイアウォールには、IPSと似た機能として「IDS（不正侵入検知）」も搭載されている。両者の違いは、攻撃への対応方法にある。IDSは不正な通信を検知し、管理者へ通知する仕組みであるのに対し、IPSは不正アクセスを検知すると自動的に通信を遮断する。つまり、対象の機器やソフトウェアにまだ最新パッチが適用されていない状態でも、その手前でIPSが攻撃を防ぎ、侵入を阻止する防御手段となる。

　ただし、仮想パッチを最終的な解決策と考えてはいけない。あくまで正式なパッチ適用までの「時間を稼ぐための対策」であり、長期的な代替手段ではないからだ。IPSの防御機能で全ての攻撃を永続的に防げるわけではなく、古いOSやソフトウェアを使い続ければ、将来的には、既存の検知ルールでは防ぎきれない新たな攻撃手法によって、狙われる可能性もある。また、セキュリティ面だけでなく、サポート終了や互換性の問題によって、業務システム自体が利用できなくなるリスクも高まる。

　仮想パッチは、正式なパッチを適用するまでの間、リスクを抑えるための防御策だ。IPSによって一時的に安全性を確保している間に、検証環境での動作確認やベンダーとの調整を進め、適切なタイミングで正式なアップデートを実施することが重要だ。脆弱性を根本的に解消し、継続的に安全な環境を維持するためには、計画的な更新管理の仕組みづくりが欠かせない。

原点に立ち返るべき、脆弱性対策の3つの基本

　最後に、自社のIT資産を正しく把握し、脆弱性を悪用したサイバー攻撃から事業を守るために、明日から現場で実践できる3つのアクションを整理する。

1．IT資産ごとの管理責任者を明確にする

　社内で利用している機器やソフトウェアについて、「誰が管理するのか」「誰がアップデート対応の責任を持つのか」を明確にする。管理者が不明確なIT資産は、更新漏れや設定不備につながるため、まずは社内の役割分担を整理することが重要だ。

2．IT資産台帳を整備し、常に最新の状態を維持する

　専用のIT資産管理ツールや表計算ソフトなどを活用し、社内に存在する機器・ソフトウェアの情報を一覧化する。重要なのは、台帳を作成すること自体ではなく、継続的に更新し、パッチ適用状況まで把握できる状態を維持することだ。利用者任せにせず、組織として更新管理を行う仕組みを整える。

3．すぐにパッチを適用できない場合は仮想パッチを活用する

　業務システムへの影響などにより、すぐにパッチを適用できない場合は、次世代ファイアウォールのIPS機能などを活用し、攻撃通信を遮断することで一時的にリスクを低減する。ただし、仮想パッチは根本的な解決策ではないため、防御している間に動作確認や調整を進め、最終的には正式なアップデートによって脆弱性を解消することが求められる。

　脆弱性対策は、高度な技術や特別な知識がなければ実施できないものではない。まずは「自社に何があるのかを把握する」「誰が管理するのかを決める」「必要な更新を確実に行う」という基本を徹底することが、中小企業における現実的で効果的なセキュリティ対策の第一歩となる。