情報セキュリティの分野において、無視できない“脆弱性”。
なんとなく、“脆弱性=悪いもの”だということは理解していても、具体的にどのようなものを指すのかについて、しっかり把握できていないという方もいるでしょう。
今回は、そんな脆弱性について、徹底的に解説したいと思います。
脆弱性って何?
情報セキュリティの分野における脆弱性とは、外部からのアクセスに対し、システムの安全性が損なわれている状態、あるいは、セキュリティ上の欠陥のことを言います。
また、一般的に、脆弱性には“システム上の問題、欠陥”というイメージが強いですが、実際はそれだけでなく、物理的な管理あるいは運用上の管理における問題点も、脆弱性に該当します。
例えば、サーバがある部屋の扉や窓に鍵がされていない、バックアップ媒体の保管、管理にルールが設けられていないといったことも、脆弱性だと言えるでしょう。
脆弱性が生まれてしまうワケ
脆弱性が生まれてしまう原因には、主に以下のことが挙げられます。
設計上の欠陥がある
開発者が意図的に入れている
情報セキュリティ体制の整備が追い付いていない(コストや時間の都合上)
情報セキュリティ体制がずさんである
システム開発の複雑化により技術が追いついてない など
システムに関しては、人間が開発し、製作するものであるため、100%ミスを出さないということは難しいです。
また、コストや時間の関係で、どうしても脆弱性が生まれやすくなる体制になってしまうという問題も、中小企業などでは特に深刻化しています。
脆弱性と似た言葉との違いについて
情報セキュリティの分野には、脆弱性と似たような言葉に、“脅威”、“バグ”といったものがあります。
脅威とは、システムあるいは組織に対する、セキュリティ事故の“潜在的な要因”を指しています。
つまり、脅威はセキュリティ事故を“起こす”もので、脆弱性はセキュリティ事故を“起こされるもの”だということです。
一方、バグとは、単なるソフトウェア上の“不具合”のことを指しています。
そのため、“脆弱性=バグ”と認識している方は多いものの、この認識は間違っているということになります。
バグは単なる不具合であり、本来不可能な操作ができてしまったり、表示されないはずの情報が表示されてしまったりするだけであるため、脅威によって利用されるようなことはありません。
脆弱性をそのままにしておくことのリスク
脆弱性があるにも関わらず、そのまま放置していると、攻撃者に対して大きなチャンスを与えてしまうことになります。
また、物理的あるいは運用上の管理における脆弱性に関しては、組織内部の人間が把握しているケースが多いため、放置していると、内部からの攻撃を受けてしまうということも考えられます。
そして、脆弱性を突く攻撃を受けてしまうと、マルウェア感染や情報漏えい、サイトの改ざんなど、さまざまな被害に遭う可能性があり、最悪の場合、企業の存続が危ぶまれることもあります。
脆弱性を狙った攻撃への対策について
脆弱性を狙った攻撃への対策としては、主に以下のようなことが挙げられます。
①OSやアプリのアップデートを徹底する
ソフトウェアにおいて、脆弱性が見つかった場合、OSあるいはアプリのメーカーは、その脆弱性を解消するために、アップデートを実施します。
ただ、ユーザー(企業)側でもアップデートを行わない限り、脆弱性は残ったままになってしまうため、こまめにアップデート情報をチェックし、OSやアプリは常に最新のバージョンにしておかなければいけません。
②セキュリティソフトを導入する
セキュリティソフトの中には、脆弱性対策が搭載されているものも多くあります。
そのため、セキュリティソフトを導入し、こちらも常に最新のバージョンにアップデートしておきましょう。
③怪しいメールやURLは開かない
差出人がよくわからないメールや、不審なURLに関しては、安易に開かないようにしましょう。
開いたことが原因で、マルウェアに感染してしまったり、情報が漏えいしてしまったりするケースはよくあります。
④怪しいソフトウェアはインストールしない
誰も知らないようなメーカーが提供しているソフトウェアや、不自然に料金が安いソフトウェアなどは、インストールしてはいけません。
このようなソフトウェアには、マルウェアが仕込まれていることもあり、インストールしてしまうと、自ら脅威を取り入れてしまうことになります。
⑤強い情報セキュリティの意識を持つ
ユーザー自身が、情報セキュリティの意識を強く持つということは、とても重要です。
サーバがある部屋の鍵をかけていない、バックアップ媒体の管理、保管にルールを設けていないというような企業は、お世辞にも情報セキュリティの意識が高いとは言えません。
まとめ
ここまで、情報セキュリティの分野における脆弱性について解説してきましたが、いかがでしたか?
企業は脆弱性対策の1つとして、ぜひ“SiteLock”の導入を検討しましょう。
SiteLockは、簡単かつ手軽にWebサイトの安全性を監視、診断、復旧できるクラウドベースのサービスであり、国内外1,200万を超えるユーザーが導入しています。
また、月額350円(年4,200円)という低価格で利用できるのも魅力です。
