情シスが抱えるITインフラやネットワーク、セキュリティの悩みを解決するメディアサイト情シスが抱える悩みを解決するメディアサイト

OSやソフトウェアは「最新」ですか?脆弱性による危険を減らすための重要な対策【Security Upgrade-2】

情報システム部門
セキュリティ

あなたの会社のOS やソフトウェアは最新の状態?…セキュリティ対策しているものの、適切にできているかわからず不安な情シスにとって自社の現状を知ることが重要。そのためにも、 Security Upgrade-1 では『 情報セキュリティ5か条 』に沿った5つのセルフチェックを紹介しました。今回は、チェックポイント1「OS やソフトウェアは最新の状態になっているか?」について詳しく見ていきましょう。
※独立行政法人 情報処理推進機構(IPA)による

この記事の内容
OSやソフトウェア最新の状態にしないとどうなる?
ポイント1:OS・ソフトウェアが最新の状況かどうか把握する
ポイント2:OS・ソフトウェアを最新に更新できる「仕組み」を用意すること
おわりに

OSやソフトウェア最新の状態にしないとどうなる?

近年、「ランサムウェアによる被害」はIPAの「 情報セキュリティ10大脅威 2024 」では9年連続で1位(組織編)となる深刻な脅威となっていることがわかります。ランサムウェアに感染すると、データが暗号化され業務が継続できなくなることや、システムが破壊されたり、ID、パスワードなどの個人情報や業務で必要な重要情報など、犯罪者が悪用可能な情報が盗み取られたりする恐れがあります。また、この「10大脅威」にはサプライチェーン攻撃やゼロデイ攻撃など、PCのOSやソフトウェアの脆弱性を悪用するサイバー攻撃もランクインしていて、企業は多くの脅威にさらされている現状が伺えます。

このように、サイバー攻撃の経路の1つに脆弱性を悪用するケースが多々ありますが、それに備えてOSやソフトウェアを提供するベンダーは、既知の脆弱性を修正したプログラム(セキュリティパッチなど)を配布することが一般的です。

しかし、OS、ソフトウェアの更新を怠ってしまうと、その脆弱性を悪用したマルウェアに感染しやすい状態のままとなってしまい、非常に危険な状態と言えます。こうした被害の芽を摘むためにも、普段使うパソコンやスマートフォンのOSやソフトウェアは最新の状態にしておくことが大切です。

ポイント1:OS・ソフトウェアが最新の状況かどうか把握する

OSやソフトウェアを最新の状態に保つことは、脆弱性を最小限にしてインシデント予防をするための第一歩といえますが、そのためには何をすべきでしょうか。ここでは、その対策のポイントを整理していきましょう。

まず1つめの対策としては、OSやソフトウェアは最新版を利用することです。最新版のOSやソフトウェアは既知の脅威への対策が行われるので、最新版を利用するだけでセキュリティが強化されているということになります。また、すでにサポートが終了したOSやソフトウェアを使い続けると、もし脆弱性が発見されても更新プログラムが提供されませんので注意が必要です。

対策としては、情シスが全てのPCやスマートフォンに搭載されているOS・ソフトウェアのバージョンを正しく管理すること。更新する都度、ユーザから申告してもらうというようにユーザ任せにしてしまっては、確実な状態把握ができませんので、情シスが一元的に管理することが求められます。そのためには、IT資産管理システムなどを活用することで管理対象のサーバーやクライアントPC、スマートフォンの稼働状況やソフトウェアの状況を一元管理できるようになります。

また、前述の『 情報セキュリティ5か条 』ではソフトウェアの状態を確認できる「 MyJVNバージョンチェッカ for .NET 」というツールを用いた確認についても紹介しています。こうしたツールを利用し、確実にOS・ソフトウェアの状態を把握し、最新の状態に保つことが必要になります。

OS・ソフトウェアが最新の状況かどうか把握する

ポイント2:OS・ソフトウェアを最新に更新できる「仕組み」を用意すること

社内のPCやスマートフォンなどすべての端末を最新の状態にするのも、ユーザ任せの個別更新では徹底が難しいことでしょう。もし、対応漏れがあるとその端末がセキュリティホールになり、サイバー攻撃の被害に遭わないとも限りません。

(1)自動アップデート機能
OSやソフトウェアには、最新版がリリースされたら自動的にアップデートする機能があります。これを有効化しておくことで、最新版やセキュリティパッチを自動的にダウンロードしインストールできるようになります。
(2)端末管理ツールを利用する
OSやソフトウェアを複数端末に配信したり、アップデートするなど一元管理できるツールを利用することで、効率的に端末管理が行えます。Windows環境であれば、WSUS(Windows Server Update Services)などの更新プログラム配布ツールでアップデートを行うことが可能です。また、モバイルデバイス管理(MDM)ツールの「Microsoft Intune」や、上述したIT資産管理ツールの中にも、プログラム配信機能を備えたものがあります。こうしたツールを利用することで、自社のポリシーに合わせた運用が可能となります。
端末管理ツールを利用する

おわりに

今回は、「OS やソフトウェアを最新の状態に保つ」ためのポイントをご紹介しました。ハイブリッドワーク化が進む昨今、場所を問わない働き方が浸透しています。「社内」「社外」というネットワークの境界が曖昧になり、パソコンやスマートフォンがマルウェア感染の標的になる可能性が高まっており、こうしたサイバー上の脅威に備えるためにも、パソコンやスマートフォンのOSやソフトウェアの脆弱性管理はますます重要になっていきます。OSやソフトウェアを最新の状態に保つことで、脆弱性を最小限にし、セキュリティインシデントを未然に防ぐ予防対策を行うとともに、下記で取り上げる資料やサービスを自社のセキュリティ対策を強化に役立ててみてはいかがでしょうか。

セキュリティ関連のセミナー情報はこちら

▼関連セキュリティソリューション
関連キーワード
ITインフラに関するおすすめ記事
「セキュリティ対策が不安」なら? まずは5つのチェックで自社のリスクを可視化しよう【Security Upgrade-1】
パスワードの漏えいが招く重大事故に注意!パスワード強化のポイント【Security Upgrade-4】
ウイルス対策ソフト「導入」は当たり前?ランサムウェアの脅威に備え「運用」もチェックしよう【Security Upgrade-3】
サイバー上の脅威や攻撃の手口を知って備えるための3つのポイント【Security Upgrade-6】
「共有設定」の落とし穴に注意!不正アクセスや情報漏えいを防ぐためのポイント【Security Upgrade-5】