「導入時のセキュリティ」だけではなく「継続的なセキュリティ」が重要です。攻撃者はシステムが古くなるのを待っており、運用担当は攻撃者と同じくらい粘り強く対応し続ける必要があります。
運用・保守フェーズは、システムやサービスを安全に稼働し続けるための最後の砦です。ここでのセキュリティ対応が不十分だと、時間の経過とともに脆弱性が蓄積し、攻撃リスクが増大します。
■ 運用・保守におけるセキュリティの目的
運用・保守においてセキュリティを維持する目的は、以下です。
①サービス稼働中の安全性確保
②新たな脅威や脆弱性への迅速な対応
③法規制や契約上のセキュリティ要件の継続的遵守
④顧客・利用者からの信頼維持
■ 体制の整備
以下のような体制を構築し、運用・保守にあたる必要があります。
・インシデント対応チーム(CSIRT)の組成
検知・分析・封じ込め・復旧・再発防止までの責任分担を明確化
・権限分離(SoD: Segregation of Duties)
運用担当・開発担当・セキュリティ担当の役割を分け、相互チェック
・定期レビュー体制
アクセス権限、設定、ログ、運用手順の定期確認
■ 日常的なセキュリティ対応
以下のセキュリティを維持するための日常的なルーティンを実施します。
・パッチ管理
OS、ミドルウェア、アプリケーションの脆弱性修正をタイムリーに適用
・ログ監視
SIEMによるリアルタイム分析、不審な挙動検知
・構成管理(Configuration Management)
セキュアな設定を維持、意図しない変更を検出(変更監視)
・マルウェア対策
定義ファイル更新、ふるまい検知、EDR活用
・バックアップとリストア訓練
災害や攻撃時の迅速な復旧に備える
■ プロダクトのセキュリティ運用・保守のためのPSIRT
CSIRTは、自社の社内IT(エンドポイント/社内NW)を守る組織ですが、PSIRTは「お客さまに出荷・提供したプロダクトの安全」を継続的に担保する組織です。以下の機能を持ちます。
①外部からの脆弱性通報受付
②CVE対応
③パッチ/回避策の提供
④アドバイザリ公開(発見された脆弱性をユーザーや関係者に公式に情報を公開)
⑤顧客連絡・展開状況追跡
PSSIRTの標準プロセスを以下に示します。
1)Intake(受付)
研究者/顧客/社内からの通報、SCAや脆弱性DB監視、ISAC経由の情報を受理(専用フォーム+PGP推奨)
2)Triage(初期評価)
再現性確認/影響範囲特定(バージョン・構成・クラウド/オンプレ)、CVSS(v3.1/必要に応じv4)でスコアリング
3)Contain/Plan(抑止・計画)
暫定緩和策(設定変更/WAFルール/機能停止)と修正計画(パッチ/ライブラリアップデート/バックポート)を決定
4)Fix & Verify(修正・検証)
修正実装→セキュリティ回帰テスト(ユニット/統合/回帰、エクスプロイト再試験)
5)Advisory(開示)
CVE ID(CNA経由取得可)、影響・条件・回避策・修正版、CVSS、CWE、SBOM差分を記載。顧客通知チャネル(メール、ポータル、RSS)で配信
6)Release & Deploy(展開)
パッチ/更新版の署名・配布(TLS)、ローリング/段階リリース、ロールバック手順同梱
7)Follow-up(追跡)
適用率、失敗率、追加インシデントの有無を監視。ポストモーテムと再発防止(プロセス/テストの改善)
■ まとめ
運用・保守フェーズは、システムの寿命全体を通じてセキュリティを維持するための「最後の防衛線」です。
導入時の対策だけでは不十分であり、脆弱性は時間とともに蓄積するため、継続的な監視・改善が不可欠です。
効果的なセキュリティ運用のためには、CSIRTによる社内環境の防御に加え、PSIRTによる出荷済み製品の安全確保が重要です。脆弱性通報受付から修正・アドバイザリ公開・展開・追跡までの標準プロセスを回すことで、顧客の信頼を長期的に維持できます。
つまり、運用・保守は単なる「維持作業」ではなく、攻撃者との持久戦を勝ち抜くための継続的かつ戦略的な活動なのです。
