TOPセキュリティ > 「Spring4Shell」などの脆弱性、大きく報じられるも...

セキュリティ

「Spring4Shell」などの脆弱性、大きく報じられるも真のリスクを正しく評価すべき(前)

2022/05/17

Susan Bradley CSO

 「Spring4Shell」のような脆弱性に関して、自社の環境に潜むリスクをどのように判断しているだろうか。WebサーバーやWebアプリケーションを外部機関に診断してもらうと、現実には必ずしも問題につながるとは限らない点を、問題点として指摘されることがある。セキュリティー担当者はこうしたフォルス・ポジティブ(偽陽性)の指摘について調査し、許容可能なリスクかどうかを上層部に報告することになる。

Credit: Thinkstock
Credit: Thinkstock

 「Spring4Shell」のような脆弱性に関して、自社の環境に潜むリスクをどのように判断しているだろうか。WebサーバーやWebアプリケーションを外部機関に診断してもらうと、現実には必ずしも問題につながるとは限らない点を、問題点として指摘されることがある。セキュリティー担当者はこうしたフォルス・ポジティブ(偽陽性)の指摘について調査し、許容可能なリスクかどうかを上層部に報告することになる。

 フォルス・ポジティブ診断の経験は筆者にもある。既知の問題に関連するポートを開いていたことによるものだったが、実際には問題があるサービスとは無関係なポートだった。侵入テストや脆弱性診断の結果に対して異を唱え、当該項目に危険性はないと調査担当者に説明することは可能である。しかし、そうした対応をしているとセキュリティー担当者として他の仕事に充てる時間が減る。場合によっては調査結果を受け入れ、緩和策や回避策を見つけ出す方が担当者と議論するよりも早いことがある。

Spring4Shellのリスクの度合いは

 Spring4Shellの件もこれらの話と関係する。最初に大きく報じられた時点では非常に深刻な懸念かと思われたが、実際に大きな被害が生じたという話はあまり聞かない。筆者が扱っている環境に関して言えば、米MicrosoftのAzure Web Application Firewallも、Spring4Shellの脆弱性(CVE-2022-22963、CVE-2022-22965、CVE-2022-22947)への対応が既になされている。

 筆者の場合、脆弱性がもたらす影響を評価する際、セキュリティー上の判断に関して信頼できる方々の意見を聞くか、当該の問題について報告された情報を確認する。Spring4Shellについては、実際のリスクよりかなり大げさな報道がなされたように思える。

 Microsoftは2022年4月4日付のブログ記事で、Spring4Shellについて次のように説明している。

↑ページ先頭へ