Home > お知らせ > 2004年 > SANS 脆弱性Top20リスト2004年版の公開イベントがロンドンで開催(10/8)

お知らせ

The Twenty Most Critical Internet Security Vulnerabilities〜SANSインターネットセキュリティ脆弱性トップ20〜
2004年版(Version5.0)公開

2004年10月13日

2000年にSANSとFBI(米連邦捜査局)が共同で発表して以来、本年で5回目となる改訂版が去る10月8日に公表された。本年は、CESG/GCHQ(英国政府通信司令部通信電子セキュリティグループ)、CSIA(英国内閣府Central Sponsor for Information Assurance)、NISCC(英国国家インフラストラクチャ安全調整局)、NSA(米国家安全保障局
Canada RCMP(The Royal Canadian Mounted Police)など、各国の情報セキュリティ政策を推進する政府機関や、Microsoft Corporation、Symantec Corporation、Afentis、Cisco Systems, Incなどの民間企業などをはじめとした組織・機関から多くの専門家が参加している。
公開に当たり、英国ロンドンのDTI(Department of Trade and Industry)カンファレンスセンターにて「SANS Top 20 European Launch」と称する公開イベントが開催された。会場には、地元英国をはじめ、米国、ドイツ、スペイン、日本などからからおよそ100名の関係者が集まり、プレゼンテーションやパネルディスカッションを通じて、情報セキュリティに関する活発な議論が行われた。
以下にその概要をご紹介したい。

情報セキュリティに関する情報共有の促進を(SANS:Alan Paller氏)

「各国の政府機関や民間企業にとって最も難しいのは、セキュリティに関する情報を共有することです。なぜなら、各組織はセキュリティ上のインシデント情報を内部に封印しようとするからです。これを変えようとする試みが、NISCC(英国国家インフラストラクチャ安全調整局)が主導して展開しているWARP (Warning, Advice and Reporting Point)という活動です。WARPとは、英国内の政府機関(中央および地方)や民間企業をメンバーとなり、これらメンバーからセキュリティ上の問題について随時報告を受けつけ、内容を精査した上で、匿名でその他メンバー間にて情報を共有し解決策を模索するという活動です。これからは、こうした活動がますます重要になってくるでしょう」

まずはTop 20の脆弱性に対処することから始めては(CSIA:Stephen Marsh氏)

「毎日のように公開される脆弱性、毎日のように公開されるパッチに対して、システムの安全性を維持し続けるために、何をしていいのかわからない管理者の方も多いのではないでしょうか。そのような方は、まずは本日全世界に公開されたTop 20にリストアップされている事項から取り組まれることをお勧めします」

英国政府機関ではセキュリティアセスメントの際の基準としてTop20リストを活用
(NISCC:Roger Cumming氏、Judy Baker氏)

「NISCCの中心的な役割は、デジタルアタックから英国国家の重要インフラ(CNI:Critical National Infrastructure、エネルギー、金融、運輸などをはじめ8つの業界エリアがある)を守るために各種機関を調整することです。
また、NISCCでは、デジタルアタックおよび情報セキュリティに関する調査研究を行っており、その結果を報告書として公開しています。

英国政府機関が使用しているシステムについては、英政府機関であるCESGが中心となり、脆弱性評価の観点からペネトレーションテストなどを実施していますが、その際の基準としてTop 20リストを活用しています。ペネトレーションテストで指摘される脆弱性のほとんどはこのTop 20にリストアップされたものです。したがって、日頃からこれらの脆弱性に配慮しておくことで、脆弱性が払拭でき、脆弱性評価のコストも大幅に削減することができるからです」

Top 20に対処することで230以上の脆弱性が消えます(SANS:Ross Patel氏)

Patel氏からは、本リサーチプロジェクトの背景や、本年のTop 20の内容に関するプレゼンテーションがあり、その後続けてパネルディスカッションに移った。ここでのフォーカスは、Top 20の実効性のある活用方法であった。SANSのPaller氏は、これについて2つの方法を示した。
「1つは、現在既に導入しているシステムについて、同リストをもとに脆弱性評価を行い、そして必要な修正パッチを適用することにより対策を講じることです。しかし、ソフトウェアにおける脆弱性の問題は、ユーザに責任があるわけではありません。この問題は、ソフトウェアを開発しているベンダーの責任です。したがって、これから購入する製品について、皆さんはその責任をベンダー側に明確に打ち出すことが必要です。その際、このTop 20リストを活用し、これら脆弱性を解決していない製品は購入しないとベンダー側に圧力をかけることができます。現に米Dell社は、米国政府機関に対し、これら脆弱性をDell社にて解決した上で製品を納入することを取り決めた契約を結んでいます。これが2つ目の活用方法です」
2つ目の活用方法は、まだ試みの段階である。しかし、利便性一辺倒のソフトウェアがセキュリティが考慮されて納品されることの意義は非常に大きい。

「攻撃者はグローバルに攻撃を仕掛けてきます。したがって、彼らから情報資産を守る我々もグローバルに活動する必要があるのです(Paller氏)」
冒頭でも触れたが、本プロジェクトは年を追うごとに参加組織が増え、いまや世界的な活動に成長した。いずれ、本リストが、Paller氏が言うように使われる日も来るであろう。それに先駆けてぜひご自身の組織でご活用いただきたい。
Top 20リストはSANSのウェブサイトからダウンロードすることができる(http://www.sans.org/top20/)。

PAGE TOP
お問い合わせ / 資料請求

ご不明な点、ご要望、ご相談等ありましたら、お気軽にお問い合わせください。資料請求も承っております。

お問い合わせ 資料請求


このページを印刷