Endpoint Central Cloud ナレッジベース

脆弱性管理とセキュリティ構成ミスへの対策


セキュリティ構成ミスについて

セキュリティ構成ミスとは?

セキュリティ構成ミスとは、不安定なままであったり、不適切に設定されたセキュリティ制御により、システムやデータを危険にさらしてしまうことを指します。例えば、十分な記録が残されずに行われた設定変更や、デフォルト設定での運用、あるいはエンドポイントでの技術的問題が、構成ミスにつながる可能性があります。

なぜセキュリティ構成ミスが発生するのか?

構成ミスが発生する原因は多岐にわたります。今日のネットワークインフラは非常に複雑化しており、日々変化しています。そのため、セキュリティに関する脆弱な設定を見落としてしまう可能性があります。新規に導入した機器がデフォルト設定で運用されているということがありえます。また、セキュリティを維持するためには、一度エンドポイントにセキュリティ設定を展開したとしても、往々にして起こる設定の改変を特定するため、頻繁な設定とセキュリティ制御の監査を続けるべきでしょう。システム変更、新しい機器のネットワークへの導入、パッチの適用、それらすべてが構成ミスにつながりえます。

異なる性質の原因として、開発者がソフトウェアの開発中、利便性のために緩いファイアウォールルールを適用し、それが残されたままになっているということもあるかもしれません。システム管理者がテストやトラブルシューティングの目的で設定変更を許可し、目的の達成後も変更前の設定に戻すことを忘れているといった場合もあります。また、インストーラー実行などのため、従業員が一時的にアンチウイルスソフトウェアを無効化したまま、再度有効化することを忘れているのもよく見られる原因です。事実、エンドポイントの21%に占める割合で、古くなったアンチウイルスソフトウェアが利用されているという情報(英文)もあります。

セキュリティ構成ミスが与える影響は?

デフォルトパスワードのままでの運用やパスワードの共有は、攻撃者が組織のセキュリティを侵害することに利用される可能性があります。また、攻撃者の注目をひく脆弱性やゼロデイ脆弱性は日々登場します。そのため、組織が単一の脆弱性で瓦解しないように、セキュリティ基盤を確立しておくことが重要です。一例として、悪名高いランサムウェアのWannaCryは、SMBv1を無効化し、ファイアウォールルールで445番ポートをブロックするのみで、ネットワーク内に拡散することを容易に防ぐことができます。逆の見かたをすれば、このような単純な構成ミスでも、対処をしなければ深刻な事態を招く可能性があると言えます。

エンタープライズ環境における構成ミスへの対処

仮にネットワークへのゲートウェイに脆弱性があった場合、これは攻撃者が標的に侵入するために利用する構成ミスと言えます。セキュリティ構成ミスを修正すること自体は困難ではありませんが、エンタープライズ環境ではその作業が大規模になることは避けられません。エンタープライズ環境でセキュリティ構成ミスを特定することは、干し草の山の中から1本の針を探し当てるようなもの…セキュリティ構成ミスは、Webブラウザー、アプリケーション、OS、サーバーなど、組織のシステムに横断して存在する各コンポーネントに存在する可能性があります。セキュリティ構成ミスに対する視認性の欠如や、構成ミスを修正するための方法が集権化されていないことは、組織が構成ミスを利用した攻撃を受けるリスクを高めることになります。

Endpoint Central Cloud Security Edition

Endpoint Central Cloud Security Edition

ManageEngine Endpoint Central Cloud Security Editionは、脆弱性管理機能において、このようなセキュリティ構成ミスに対応する包括的な管理の手段を提供します。セキュリティ構成ミスの監視、修正、種々の構成の標準化やレポート作成にどのように活用可能か、以下の動画で紹介いたします。

※動画(英語)はEndpoint Central Cloud Security Editionから脆弱性管理機能のみを抜き出した、Vulnerability Manager Plusのものとなりますが、実現可能な機能は同一です。

Endpoint Central Cloud Security Editionで修正可能なセキュリティ構成ミスの一覧

修正可能なセキュリティ構成ミスの一覧はこちらからご覧いただけます(英文)。※リンク先記事内「Catalog of security misconfigurations that can be remediated with Vulnerability Manager Plus」の項に一覧がございます。

本記事はこちらの内容を再編集して作成しています(英文)。