2016年2月3日（水）

運用中のシステムにもソフトウェアアップデートを適切に適用しましょう

株式会社レキサス プロダクト企画開発部 アプリ・Webサービスチーム
ミドルウェアエンジニア　又吉　伸穂

　
　連日色々な製品の脆弱性情報が公表され、そのアップデートが公開されています。皆さんは利用されている製品についてこれらのアップデートを適切に適用しているでしょうか? 最近のOSやブラウザであれば自動更新の仕組みにより意識せず更新が行われていることがほとんどだと思います。ですがそれ以外の製品についてはどうでしょうか? 「今アップデートされると困るから後にしよう」「そもそも(更新の)チェックを行っていない」といったことは無いでしょうか? そのまま放置してしまうと脆弱性を残したままになってしまい、悪意のある第三者に悪用されてしまうという恐れがあります。
 
　これは身の回りにあるPCやスマートフォンといったクライアント端末だけではなく、サーバーにも当てはまることです。
　ShellShock、Heartbleedといった脆弱性はまだ記憶に新しいと思います。これら以外にもWordpress、色々な脆弱性情報が公表されています。サーバーの場合脆弱性を放置した場合、サービスで保持している情報が抜き出されてしまうといった事が考えられます。また外部より不正操作されてしまった結果、サイトを閲覧したユーザーへ悪意のあるソフトウェアをダウンロードさせてしまうなど重大な問題に繋がり兼ねません。その他にも問題を起こしてしまったことにより社会的信用性が低下してしまうということにもつながりかねません。
 
　弊社ではJPCERT[1]やJVN[2]から公開される脆弱性情報をRSSリーダーを活用して関連部門へ通知が行われるようにしたり、ニュースサイトなどに掲載された脆弱性情報を社内へ展開する体制の構築を行っております。ですが様々な観点から運用中のシステムの変更は容易ではありません。これまでよりも更に早く問題に対処するための体制づくりが今後の課題となっています。
 
　最後に宣伝になってしまいますが、WASForum[3]が開催している「Hardening Project」やその派生である「MINI Hardening Project」では一般的なシステムに対して行われる攻撃を模擬的に体験することができるセキュリティイベントを開催しています。実際に体験してみることでシステムを運用する上でどういった対策を行うべきなのかのヒントになると思います。ぜひ参加されてみてはいかがでしょうか。
 
[1] https://www.jpcert.or.jp/
[2] http://jvndb.jvn.jp/
[3] http://wasforum.jp/
 

※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。