「Spring4Shell」などの脆弱性、大きく報じられるも真のリスクを正しく評価すべき（後）

　「Spring4Shell」のような脆弱性に関して、自社の環境に潜むリスクをどのように判断しているだろうか。WebサーバーやWebアプリケーションを外部機関に診断してもらうと、現実には必ずしも問題につながるとは限らない点を、問題点として指摘されることがある。セキュリティー担当者はこうしたフォルス・ポジティブ（偽陽性）の指摘について調査し、許容可能なリスクかどうかを上層部に報告することになる。

（前回から続く）

新たな脆弱性への最善の対処方法は

Credit: Monsitj / Getty Images

　何らかの脆弱性の話が大きく報じられたときに、テストもしていないパッチを慌てて適用したり、影響がありそうなソフトウエアを強制終了させたりするのはセキュリティー担当者として賢明な対応ではない。まず前提として利用しているデバイスやリソースを洗い出し、インターネットとのやりとりの防御の態勢を確認しておく必要がある。WebサーバーやWebアプリケーションをはじめ、あらゆるデバイスやリソースに対し、フィルタリングやパターン検知のための仕組みは欠かせない。

　例えばWebアプリケーションファイアウォール（WAF）を導入していれば、通常と異なるパターンや文字列を検出できる。攻撃の可能性がある動きや脆弱性を含むソフトウエアを探る動きを検知するためのルールを、素早く追加できるようにしているベンダーも多い。

｜CIOについて｜CIOへのお問い合わせ・ご意見｜著作権・リンクについて｜個人情報の取り扱い｜