脆弱性対策とパッチマネジメントを再考する

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

脆弱性対策とパッチマネジメントを再考する

2017/05/16


 脆弱(ぜいじゃく)性という言葉は知っていても、それが実際にどのようなものなのかを厳密に把握していないという人も多い。単なるコンピュータウイルスや不具合との違いは何だろうか。今回のセキュリティ強化塾では、そもそも脆弱性とは何かを学び、対処方法を根本から理解しよう。

脆弱性対策

サイバー攻撃を引き起こす「脆弱性」とは

 情報処理推進機構(IPA)がまとめる「情報セキュリティ 10大脅威 2017」によれば、1位は前年度と同じ「標的型攻撃による情報流出」だった。最新版のランキングで特筆したい点は「ランサムウェアによる被害」が前年7位から2位に上昇したこと、そして「IoT機器の脆弱(ぜいじゃく)性の顕在化」がランク外から8位に入ったことだろう。

表1 「情報セキュリティ10大脅威」2017年版
表1 「情報セキュリティ10大脅威」2017年版
https://www.ipa.go.jp/security/vuln/10threats2017.html
(出典:IPA)

 これらの攻撃に共通している点は、脆弱性と呼ばれるソフトウェア上の欠陥を突いてくることだ。

 例えば、標的型攻撃もランサムウェアによる被害も「メールに添付された書類をダブルクリックで開く」ことや「Webサイトを開いてダウンロードされた書類を開く」ことがきっかけになっている。それらの書類は、一見すると普段から見慣れているPDFやWord文書だ。だが、実際には脆弱性を利用する特殊な細工が仕込まれていて、ユーザーに気付かれないように不正活動を行っている。

 コンピュータウイルスの侵入経路について、同じくIPAの資料「2016年度 中小企業における情報セキュリティ対策に関する実態調査」を紹介しよう。これによれば、侵入経路で最も多いのは「電子メール」だ。つまり、「添付ファイル」を開いたり、メッセージに埋め込まれたURLをクリックして「Webサイト」にアクセスしたりした結果、被害にあったわけだ。


1

脆弱性とはソフトウェアにおける「アキレス腱(けん)」

 OSやソフトウェアにおける欠陥には、大きく2つの種類がある。1つは「不具合(バグ)」だ。例えば、計算機プログラムで足し算を実行したが答えを正しく導けないといったように、本来あるべき機能が実現できていないことを指す。一方、脆弱性とは、開発者が想定していた機能を逸脱して、想定外の挙動を引き起こせるような「悪用できる異常系の不具合」だ。

 例えば、Webサイトに氏名、電話番号、メールアドレスなどを入力するフォームを設置することを想定してみよう。通常の使い方であれば電話番号やメールアドレスが入力されるはずだが、「' OR 1=1--」という想定外の文字列が入力された場合にデータベースに格納されたデータが不正に取得される可能性がある。これはSQLインジェクションと呼ばれる代表的な脆弱性を突いた攻撃の1つだ。

 この他にも、メモリ上にあるバッファと呼ばれるエリアに細工を施して不正なプログラムを実行させてしまうバッファオーバーフロー、正規Webサイトに不正なスクリプトを混入して不正な表示やダウンロードを実行させてしまうクロスサイトスクリプティングなど、さまざまな攻撃が存在する。

セキュリティ情報局にご登録頂いた方限定で「脆弱性対策とパッチマネジメントを再考する」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

脆弱性対策/脆弱性対策とパッチマネジメントを再考する」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「脆弱性対策」関連情報をランダムに表示しています。

脆弱性対策」関連の製品

シマンテック クラウド型WAF 【ソフトバンク コマース&サービス】 クラウド対応ソフトウェア型WAF InfoCage SiteShell 【NEC】 アプリケーションセキュリティ シフトレフト支援ソリューション 【アスタリスク・リサーチ】
WAF WAF セキュリティ診断
WebサイトやWebアプリケーションを改修することなく脆弱性の対策を実施可能なSaaS/ASP型WAF(Web Application Firewall)。 InfoCage SiteShellはWebサーバにインストールするソフトウェア型とWAF専用サーバのネットワーク型のどちらの形態でも導入可能。クラウド環境(IaaS)にも対応。 システムの脆弱性を激減させるための開発段階でのセキュリティ対策を提供。トレーニング、チェックツール、脆弱性診断など高品質サービスを安価な年間定額で提供。

脆弱性対策」関連の特集


88もの仮想サーバが“数分”で削除、しかも遠隔地から攻撃された例も?仮想化環境で拡大する外部/内部の…



 IPAセキュリティセンターでは、2011年1月27日に学習教材と演習環境をセットにした「脆弱性体験…



前回は、脆弱性対策が必要な現状と「AppGoat」の概要と特徴について紹介した。今回は実際にAppG…


「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3 | 4


30009578


IT・IT製品TOP > ネットワークセキュリティ > その他ネットワークセキュリティ関連 > その他ネットワークセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ