TOPセキュリティ > 「Spring4Shell」などの脆弱性、大きく報じられるも...

セキュリティ

「Spring4Shell」などの脆弱性、大きく報じられるも真のリスクを正しく評価すべき(後)

2022/05/19

Susan Bradley CSO

 「Spring4Shell」のような脆弱性に関して、自社の環境に潜むリスクをどのように判断しているだろうか。WebサーバーやWebアプリケーションを外部機関に診断してもらうと、現実には必ずしも問題につながるとは限らない点を、問題点として指摘されることがある。セキュリティー担当者はこうしたフォルス・ポジティブ(偽陽性)の指摘について調査し、許容可能なリスクかどうかを上層部に報告することになる。

前回から続く)

新たな脆弱性への最善の対処方法は

Credit: Monsitj / Getty Images
Credit: Monsitj / Getty Images

 何らかの脆弱性の話が大きく報じられたときに、テストもしていないパッチを慌てて適用したり、影響がありそうなソフトウエアを強制終了させたりするのはセキュリティー担当者として賢明な対応ではない。まず前提として利用しているデバイスやリソースを洗い出し、インターネットとのやりとりの防御の態勢を確認しておく必要がある。WebサーバーやWebアプリケーションをはじめ、あらゆるデバイスやリソースに対し、フィルタリングやパターン検知のための仕組みは欠かせない。

 例えばWebアプリケーションファイアウォール(WAF)を導入していれば、通常と異なるパターンや文字列を検出できる。攻撃の可能性がある動きや脆弱性を含むソフトウエアを探る動きを検知するためのルールを、素早く追加できるようにしているベンダーも多い。

↑ページ先頭へ