第3回 サーバー・ソフトのぜい弱性をなくす:ITpro
徳丸さん第3段。早いなぁ、リリースが。
自分で作ったアプリケーション(カスタムメイド)は自分で検査する必要がある、流通しているソフトウエア(ApacheとかPHPとか)はいろいろな人が探すってお話です。確かに。
広く流通しているソフトウエアの場合,開発元やセキュリティの研究機関などが,当該ソフトウエアのぜい弱性を調べて公表するケースが多い。マイクロソフトを例にとると,毎月第2火曜日の翌日にぜい弱性情報や対策パッチを公開している。また,情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)が共同で運営しているJVN(Japan Vulnerability Notes)では,日本国内の製品開発者のぜい弱性対応状況を公開している。
第3回 サーバー・ソフトのぜい弱性をなくす | 日経 xTECH(クロステック)
このため,流通しているソフトウエアにぜい弱性が見付かった場合は,自社で利用しているシステムにこれら「既知のぜい弱性」が存在するかどうかを探すことが重要な作業になる。これに対してカスタムメイドのアプリケーションの場合には,原則としては自分でぜい弱性を調査しなければならない。このため,ぜい弱性対策の方法は変わってくる。
最新版を使うことで脆弱性の穴がふさがれた状態のものを使うことができると。確かにね。
(1)製品の最新バージョンを利用する
第3回 サーバー・ソフトのぜい弱性をなくす | 日経 xTECH(クロステック)
ぜい弱性はセキュリティ上のバグであるため,対策の基本は,修正版を導入することである。対策版の導入の方法は,ソフトウエアのバージョンアップと,セキュリィティ・パッチの導入の大きく2通りがある。まず,バージョンアップについて説明する。
最新バージョンだけでなく、パッチで対策することも可能。あと設定で逃げるってのもありますね(Workaroundとかね)
(2)セキュリティ対策パッチを適用する
第3回 サーバー・ソフトのぜい弱性をなくす(2ページ目) | 日経 xTECH(クロステック)
製品の最新版をインストールする作業は現実的には色々な問題を伴うことがある。何も考えないで上書きインストールしてしまうと,それまでの設定が無効になったり,オプションとして導入しているモジュール類を再インストールしなければならなくなったりすることがある。このため,セキュリティ対策パッチが提供されている場合は,それを使う方が簡便な場合が多い。
確かに脆弱性スキャナを定期的にかけるのは良いことですねぇ。なかなか大規模になるとやりたがらないんですがね。
そこで効果的なのが,ぜい弱性スキャナと言われる製品を使う方法である。ぜい弱性スキャナは,ネットワーク経由でサーバーやネットワーク機器を検査するツール。既知のぜい弱性の存在をチェックし,ぜい弱性の名称やリスク,対策方法,回避策などをレポートにまとめてくれる。ぜい弱性スキャナにはソフトウエア製品のほか,アプライアンスや,SaaS提供のものなどがあるので,対策する機器の台数が多い場合には導入を検討するとよいだろう。
第3回 サーバー・ソフトのぜい弱性をなくす(2ページ目) | 日経 xTECH(クロステック)
