いっしー@Webエンジニア
トップページポートフォリオITニュースIT用語辞典ブログ

【ITニュース解説】IT資産管理ツール「SS1」に複数の深刻な脆弱性 - アップデートを

作成日: 更新日:

ITニュース概要

企業のパソコンやソフトウェアを一括管理するIT資産管理ツール「SS1」に、複数の深刻な脆弱性が発見された。攻撃者に悪用される危険があるため、開発元は速やかなアップデートを呼びかけている。利用者は最新版への更新が必要である。

出典: IT資産管理ツール「SS1」に複数の深刻な脆弱性 - アップデートを | セキュリティNEXT公開日:

ITニュース解説

企業や組織が保有するパソコンやソフトウェアなどのIT資産を一元的に管理するためのツール「System support best1(SS1)」において、複数の深刻な脆弱性が発見された。この事実は、ITインフラを支えるシステムエンジニアにとって、情報セキュリティの基本原則とその重要性を理解する上で非常に示唆に富む事例である。 まず、IT資産管理ツールがどのような役割を担うのかを理解することが重要だ。企業内には、従業員が業務で使用する膨大な数のパソコン、サーバー、ネットワーク機器などのハードウェア、そしてそれらにインストールされているOSや各種アプリケーションといったソフトウェアが存在する。これらが「IT資産」であり、IT資産管理ツールは、これらの資産情報を自動的に収集し、一元的に管理するためのソフトウェアである。具体的には、どの部署の誰がどのパソコンを使っているか、どのようなソフトウェアがインストールされているか、ソフトウェアのライセンスは契約数を超過していないか、セキュリティ更新プログラム(パッチ)は正しく適用されているか、といった情報を正確に把握する。これにより、組織は法令遵守(コンプライアンス)を徹底し、不要なライセンスコストを削減し、そして何よりも組織全体のセキュリティレベルを維持・向上させることが可能になる。いわば、組織のIT環境全体を統制する「司令塔」のような極めて重要なシステムと言える。 次に、今回のニュースの核となる「脆弱性」について解説する。脆弱性とは、ソフトウェアの設計ミスやプログラムの不具合によって生じる、情報セキュリティ上の弱点や欠陥のことである。攻撃者はこの弱点を悪用して、システムに不正に侵入したり、保存されているデータを盗み出したり、システムを意のままに操ったりする。今回、SS1のようなIT資産管理ツールに発見された脆弱性が「深刻」と評価される理由は、このツールが持つ権限の大きさに他ならない。前述の通り、このツールは組織内にある多数のコンピュータを遠隔から管理・操作する強力な権限を持つ。もし攻撃者がこのツールの脆弱性を突き、システムを乗っ取ることができた場合、その強力な権限を悪用することが可能になる。例えば、管理者になりすました攻撃者が、管理下にある全てのパソコンに対して一斉にウイルスを感染させたり、社内の機密情報を外部に送信させたり、重要な業務データを消去したりといった、組織全体に壊滅的な被害を及ぼす攻撃を実行できてしまうのである。 今回SS1で発見された脆弱性には、代表的な攻撃手法につながるものが含まれていた。例えば「SQLインジェクション」や「認証の不備」がそれにあたる。SQLインジェクションとは、Webアプリケーションなどを通じて、データベースを操作するための命令文(SQL)を不正に送り込み、データベースに格納されている情報を盗んだり、改ざんしたりする攻撃である。SS1の場合、IT資産に関する詳細な情報がデータベースに記録されているため、これが漏洩するリスクがあった。また、「認証の不備」とは、利用者が本人であることを確認するログイン機能などに欠陥がある状態を指す。この脆弱性があると、攻撃者は正規のIDやパスワードを知らなくても管理機能に不正にアクセスし、システムを乗っ取ってしまう危険性があった。これらの脆弱性が存在することで、外部の攻撃者が組織のITインフラの中枢を掌握する道を開いてしまう可能性があったのだ。 このような深刻な脆弱性に対して、最も有効かつ基本的な対策は、ソフトウェアの開発元から提供される修正プログラム、一般に「アップデート」や「パッチ」と呼ばれるものを適用することである。脆弱性が発見されると、開発元は速やかにその問題を修正するプログラムを開発し、ユーザーに提供する。SS1の提供元であるディー・オー・エスも、今回の脆弱性を修正した最新バージョンを公開し、全ての利用者に速やかにアップデートを適用するよう強く呼びかけている。システムの安定稼働を担うエンジニアは、こうした脆弱性情報を常に収集し、修正プログラムが提供された際には、自社の環境でテストを行った上で、迅速かつ計画的に適用することが責務となる。 この一件は、システムエンジニアを目指す者にとって、実践的な教訓を数多く含んでいる。第一に、自分が管理するシステムや利用するソフトウェアに関する脆弱性情報を、日頃から能動的に収集する習慣を持つことの重要性である。公的機関の発表やセキュリティ関連ニュースを定期的に確認し、脅威に対する感度を高く保つ必要がある。第二に、アップデート適用の重要性を再認識することである。脆弱性を放置することは、攻撃者に対して無防備な状態を晒すことに等しい。システムの安定稼働を考慮しつつも、セキュリティリスクを低減するために、迅速なパッチ適用を行う運用体制を確立することが不可欠だ。最後に、セキュリティ対策は一つの方法に依存するのではなく、複数の防御策を組み合わせる「多層防御」の考え方が基本であるということだ。仮に一つのソフトウェアに未知の脆弱性があったとしても、ファイアウォールや侵入検知システム、ウイルス対策ソフトなどが適切に機能していれば、攻撃の成功を防いだり、被害を最小限に食い止めたりすることが可能になる。システムエンジニアの仕事は、システムを構築するだけでなく、こうした様々な脅威から組織の情報を守り続けるという、極めて重要な役割を担っているのである。

【ITニュース解説】IT資産管理ツール「SS1」に複数の深刻な脆弱性 - アップデートを