情報セキュリティから見る脆弱性管理の必要性


情報セキュリティの観点から、脆弱性(でいじゃくせい)管理の必要性が高まっています。


情報セキュリティ対策には、「ウイルス対策」、「ボット対策(※1)」、「脆弱性対策」、「不正アクセス対策」の4つの対策が非常に重要だと言われています。


現在、ウイルス対策のためにアンチ・ウイルスソフトを利用するのは当たり前になってきました。

ウイルス対策ができていることでボット対策も概ね実現できている状態にあります。しかし、脆弱性対策ができていなければ、不正アクセスを防止することができません。言い換えるとサーバやPCの脆弱性を突いて不正アクセスが発生する可能性が高く、脆弱性対策は、とても重要であるが、まだ意識できていない企業が多い状況です。



※1 ボットとは、コンピュータウイルスの一種で、コンピュータに感染し、そのコンピュータを、インターネットを通じて外部から操ることを目的として作成されたプログラムです。管理の不十分なコンピュータにユーザの知らない間にボットが設置されることで、DDoS攻撃(サーバなどのネットワークを構成する機器に対して攻撃を行い、サービスの提供を不能な状態にすること)、迷惑メール送信などが大規模かつ組織的に行われる事例が発生しており、ボットの感染防止、駆除及び被害の局限化などが急務となっています。



■ 脆弱性とは

脆弱性とは、コンピュータまたはネットワーク全体のセキュリティに弱点を作り出すコンピュータソフトウェアの欠陥や仕様上の問題点です。また、脆弱性は不適切なコンピュータやセキュリティの設定によって作られる可能性があります。脅威は脆弱性の弱点を利用して、コンピュータや個人データに潜在的な損害を与えてしまいます。


ソフトウェアメーカー等は、自社のソフトに脆弱性が発見された場合、脆弱性をホームページ等で発表をおこない、そのソフトウェアを修復する「パッチ」を作成しますが、個々のユーザに対して脆弱性をアナウンスする会社は少ない状況です。

自社で利用しているサーバやPCで利用するソフトウェア等に脆弱性が存在し確認を怠っていると、悪意のある第三者が弱点(セキュリティホール)からサーバやPCに侵入し、サーバやPC内のデータが盗まれたり不正なプログラムを埋め込まれたりしてしまいます。




■ 広がる脆弱性被害

脆弱性の届出数は、(図1)で示す通り、増加傾向にあり ユーザの注意が必要な状況になっています。

また、脆弱性が発生するソフトウェア等は、(図2)で示す通り、インターネットブラウザーや、ワープロソフトなど誰もが当たり前に使っている標準的なソフトウェアにおいても脆弱性が発生しており、(図3)で示すような脆弱性の脅威がありました。













例えば、ジャストシステムが販売するワープロソフト「一太郎」シリーズにおいて、2010年11月に脆弱性が発見されました。一太郎をインストールしているパソコンでは、細工が施された文書ファイルを開くだけで、ウイルスに感染する危険性があり、その結果、パソコンを乗っ取られたり、パソコン内の情報を盗まれたりする事故が発生しました。

また、マイクロソフトが提供するInternet Explorerでは、任意のリモートコードが実行される脆弱性を狙った攻撃による被害が発生し、少なくとも10000以上のサイトでこの脆弱性を狙うコードが仕込またという報告がありました。

脆弱性は、特殊なソフトで発生するのでなく、ごく身の回りにあるソフトでも発生しています。


また、ウェブサイトにおける脆弱性は、図1で示す通り非常に多く発生しています。

図4は、ウェブサイト内で脆弱性が発生した運営主体のグラフですが、全体の7割は、企業(「企業(株式・非上場)」および「企業(株式・上場)」)のウェブサイトで発生しており、図5で示す脆弱性の種類となっています。

ウェブサイトを公開している企業では、ウェブサイト上で動くソフトウェアはもちろんの事、ウェブサイト作成ソフトウェア等(脆弱性のあるウェブサイト作成ソフトウェアで作成されたウェブサイトにおいて脆弱性が発生する可能性が高い)の脆弱性を確認し、脆弱性の無いウェブサイトを構築するとともに、サイト更新においても脆弱性が発生していないことを確認する必要があります。



■ 脆弱性を知る

代表的な 10 種類の脆弱性 (ソフトウェア等におけるセキュリティ上の弱点) について、IPA(情報処理推機構)が以下のサイトで、わかりやすくアニメーションで解説しています。


   知っていますか? 脆弱性(ぜいじゃくせい) 「IPA」


■ 脆弱性対策の方法

最も簡単に脆弱性対策を行なう方法は、脆弱性の情報を得て利用しているソフトウェア等に脆弱性がある場合、速やかに修正プログラムやパッチプログラムに変更する方法があります。

サーバ等を多く利用する企業の場合、脆弱性調査をおこなう方法もありますが、外部向けのサーバを利用していない場合、最新の脆弱性情報を知ることが重要となります。

弊社でも、脆弱性情報を公開していますので、これらの情報を使い最新情報を確認し、ソフトウェアメーカー等のサイトより 最新版の修正プログラムやパッチプログラムを入手する事を心がけてください。


情報提供:IPA(独立行政法人 情報処理推進機構)


ナレッジソリュションズ コーポレーション
代表取締役 中村 豊成
Copyright(c) Knowledge Solutions Corporation.