ソフトウェアのバージョン管理がサイバーセキュリティ強化の鍵となる
Versio.io

ソフトウェアのバージョンは、サイバーセキュリティ強化の鍵です。

製品バージョンの特定(リリースおよびパッチの状態評価および公開されたIT脆弱性の検出のため)

要するにデモをリクエストする無料トライアルを開始する
 
このブログ記事では、IT環境内のホストにおけるソフトウェア製品のバージョンを決定するための2つの可能なバリエーションを紹介します。これらのバリエーションは、特に製品ライフサイクル(リリースとパッチ戦略)の評価やIT脆弱性の特定において、サイバーセキュリティ評価の重要な要素です。
 

バリエーション 1: インストールされたソフトウェア

バリエーション 1: インストールされたソフトウェア
X

バリエーション 1: インストールされたソフトウェア

最も単純で最も明らかな方法は、オペレーティングシステムのパッケージマネージャー(Unix、Linux、MacOS)またはソフトウェアインベントリ(Windows)を照会して、ホストにインストールされている製品を確認することです。

以下の図は、Versio.ioがプラットフォーム上でデータをどのように利用可能にするかの例を示しています。各インストールされた製品には、製造元、製品名、使用されているバージョン、その他のメタデータに関する情報が含まれています。

 

バリエーション 2: オペレーティングシステムの実行中のプロセス

バリエーション 2: オペレーティングシステムの実行中のプロセス
X

バリエーション 2: オペレーティングシステムの実行中のプロセス

より複雑な方法は、オペレーティングシステム上で実行中のすべてのプロセスを継続的に認識し、そのバージョンを照会することです。Windowsでは、Windowsに組み込まれているプロセス情報から、製造元、製品名、バージョンを簡単に照会できます。Linuxベースのオペレーティングシステムでは、標準規格が存在しないため、バージョン判定は少し複雑で、多様な判定手順が必要となります。以下に、バージョン情報の記録方法の例と、Versio.ioでバージョン検出を含むプロセスがマッピングされる例を示します:

  • コマンドライン: java --version
  • 環境変数: JAVA_VERSION=21.0.5
  • 情報ファイルまたは設定ファイル内の行: version: 21.0.5
  • ディレクトリ名: /opt/openjdk21.0.5/bin/java

 

変異体の比較

両方のバリエーションにはそれぞれ長所と短所があり、以下の表で再度説明されています:
 
インストール済みのソフトウェア製品 実行中のオペレーティングシステムプロセス
定性的評価
  • パケットマネージャーまたはソフトウェアインベントリを照会することで、インストールされているすべてのソフトウェア製品(バージョンを含む)を特定できます。
  • バージョン仕様は、製造元の指定に準拠しています。
  • ソフトウェア製品およびバージョンは、展開タイプ(インストールまたは手動で展開されたアプリケーション/バイナリ)に関わらず、実行中のすべてのオペレーティングシステムプロセスに対して特定可能です(Variant 2 の説明を参照)。
  • 製品およびバージョンの特定には、技術要件が許す場合、サードパーティコンポーネント(例:フレームワークやライブラリ)が含まれます(例:JavaまたはNode.jsアプリケーション)。
Versio.io インポーター ホストにインストールされたソフトウェア(エージェントベースとエージェントレス) ホストプロセス(エージェントベース)
努力/コスト 低い 高い
表:ソフトウェアバージョン判定のバリエーション比較
 

推奨

ソフトウェアのバージョンを決定するための2つのバリエーションは、顧客の要件に応じて個別にまたは組み合わせて使用できます。ITの異なる責任領域には、一般的に以下の推奨事項が適用されます:
  • デスクトップ/エンドデバイス管理 = インストールされたソフトウェア
  • サーバー管理 = インストールされたソフトウェアおよび/またはオペレーティングシステムのプロセス
当社は、お客様にはまずインストール済みのソフトウェア製品のバージョンから始めることを一般的には推奨しています。わずかな手間とコストで、ほとんどのソフトウェアのバージョンを特定することができ、リリース状況とパッチ適用状況、およびIT脆弱性評価により、高いレベルのサイバーセキュリティを実現できます。
100%の透明性と、コアアプリケーションやオンラインアプリケーションなど、ビジネスやITの critical なホストインフラストラクチャにおいて、実行中のオペレーティングシステムプロセスに基づいてバージョン検出を拡張することをおすすめします。
 

Outlook サイバーセキュリティ評価

バージョン検出は、製品ライフサイクルの評価と既存のIT脆弱性の認識の前提条件です。Versio.ioでは、評価と検出が完全に自動化されています。
製品バージョンに基づいてライフサイクルを評価するための以下の戦略が利用可能です:
  • これは安定したバージョンですか?
  • 最新のリリースが使用されていますか?
  • 最新のリリースバージョンが使用されていますか?
  • 長期サポート版(LTS)は使用されていますか?
  • 最新の長期サポートバージョンが使用されていますか?
  • 展開済みのバージョンは、メーカーからのカスタマーサポート(サポート)はまだ利用可能ですか?
  • 展開済みのバージョンは、メーカーによるメンテナンスが引き続き提供されていますか?
これにより、各認定製品バージョンに対してサイバーセキュリティ評価が実施され、詳細な情報と情報源への参照が提供されます。Versio.ioは、サイバーセキュリティに関する準拠状態を達成するために、どの製品バージョンで更新/アップグレードを実施すべきかに関する推奨事項も提供します。以下の図は、Acrobat Reader製品におけるソフトウェアバージョンの評価例を示しています:
Outlook サイバーセキュリティ評価
XOutlook サイバーセキュリティ評価
図:オペレーティングシステム上で実行されているソフトウェアに基づいて、製品とバージョンの特定
 

著者 | 2025年3月17日


Fabian Klose
Fabian Klose
Head of Software Development
P:  +49-30-221986-51
LinkedIn
Matthias Scholze
Matthias Scholze
Chief Technology Officer
P:  +49-30-221986-51
LinkedIn

 

We use cookies to ensure that we give you the best experience on our website. Read privacy policies for more information.