脆弱性対策とパッチマネジメントを再考する

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

脆弱性対策とパッチマネジメントを再考する

2017/05/16


 脆弱(ぜいじゃく)性という言葉は知っていても、それが実際にどのようなものなのかを厳密に把握していないという人も多い。単なるコンピュータウイルスや不具合との違いは何だろうか。今回のセキュリティ強化塾では、そもそも脆弱性とは何かを学び、対処方法を根本から理解しよう。

脆弱性対策

サイバー攻撃を引き起こす「脆弱性」とは

 情報処理推進機構(IPA)がまとめる「情報セキュリティ 10大脅威 2017」によれば、1位は前年度と同じ「標的型攻撃による情報流出」だった。最新版のランキングで特筆したい点は「ランサムウェアによる被害」が前年7位から2位に上昇したこと、そして「IoT機器の脆弱(ぜいじゃく)性の顕在化」がランク外から8位に入ったことだろう。

表1 「情報セキュリティ10大脅威」2017年版
表1 「情報セキュリティ10大脅威」2017年版
https://www.ipa.go.jp/security/vuln/10threats2017.html
(出典:IPA)

 これらの攻撃に共通している点は、脆弱性と呼ばれるソフトウェア上の欠陥を突いてくることだ。

 例えば、標的型攻撃もランサムウェアによる被害も「メールに添付された書類をダブルクリックで開く」ことや「Webサイトを開いてダウンロードされた書類を開く」ことがきっかけになっている。それらの書類は、一見すると普段から見慣れているPDFやWord文書だ。だが、実際には脆弱性を利用する特殊な細工が仕込まれていて、ユーザーに気付かれないように不正活動を行っている。

 コンピュータウイルスの侵入経路について、同じくIPAの資料「2016年度 中小企業における情報セキュリティ対策に関する実態調査」を紹介しよう。これによれば、侵入経路で最も多いのは「電子メール」だ。つまり、「添付ファイル」を開いたり、メッセージに埋め込まれたURLをクリックして「Webサイト」にアクセスしたりした結果、被害にあったわけだ。


1

脆弱性とはソフトウェアにおける「アキレス腱(けん)」

 OSやソフトウェアにおける欠陥には、大きく2つの種類がある。1つは「不具合(バグ)」だ。例えば、計算機プログラムで足し算を実行したが答えを正しく導けないといったように、本来あるべき機能が実現できていないことを指す。一方、脆弱性とは、開発者が想定していた機能を逸脱して、想定外の挙動を引き起こせるような「悪用できる異常系の不具合」だ。

 例えば、Webサイトに氏名、電話番号、メールアドレスなどを入力するフォームを設置することを想定してみよう。通常の使い方であれば電話番号やメールアドレスが入力されるはずだが、「' OR 1=1--」という想定外の文字列が入力された場合にデータベースに格納されたデータが不正に取得される可能性がある。これはSQLインジェクションと呼ばれる代表的な脆弱性を突いた攻撃の1つだ。

 この他にも、メモリ上にあるバッファと呼ばれるエリアに細工を施して不正なプログラムを実行させてしまうバッファオーバーフロー、正規Webサイトに不正なスクリプトを混入して不正な表示やダウンロードを実行させてしまうクロスサイトスクリプティングなど、さまざまな攻撃が存在する。

セキュリティ情報局にご登録頂いた方限定で「脆弱性対策とパッチマネジメントを再考する」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

脆弱性対策/脆弱性対策とパッチマネジメントを再考する」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「脆弱性対策」関連情報をランダムに表示しています。

脆弱性対策」関連の製品

シマンテック クラウド型WAF 【ソフトバンク コマース&サービス】 資産管理ツールではじめるエンドポイントセキュリティ 【ネットワールド】 脆弱性対策にDDoS攻撃、企業の「顔」であるWebサイトへの攻撃にどう対処するか 【株式会社ラック】
WAF IT資産管理 WAF
WebサイトやWebアプリケーションを改修することなく脆弱性の対策を実施可能なSaaS/ASP型WAF(Web Application Firewall)。 ◎クラウドやAIなど最新技術により、多彩なエンドポイントセキュリティ機能を提供
◎標的型メール訓練、脅威判定、運用代行、EDRなど関連サービスも充実
脆弱性対策にDDoS攻撃、企業の「顔」であるWebサイトへの攻撃にどう対処するか

脆弱性対策」関連の特集


頑張れ情シス! 4割の企業でセキュリティ専門部署もなければ専任者もおらず、情シスがセキュリティ対策し…



 前回は、情報処理推進機構(IPA)に届け出られた地方公共団体のシステムにかかる脆弱性の傾向と、地方…



MM総研では先日、「第1回 ビジネスクラウド総合評価調査」の結果を発表。今の時期にクラウドサービスの…


脆弱性対策」関連のセミナー

セキュリティ強化対策【脆弱性監査とパッチ管理編】 【Kaspersky Labs Japan】 締切間近 

開催日 5月31日(水)   開催地 東京都   参加費 無料

ランサムウェア「WannaCry」に代表されるように、OSやアプリケーションの“既知”脆弱性を悪用した脅威が増える中、脆弱性対策への取り組みが重要。最新脅威から…

発注者側が理解すべきCI(継続的インテグレーション)成功秘訣 【主催:コウェル/協力:オープンソース活用研究所】 締切間近 

開催日 6月2日(金)   開催地 東京都   参加費 無料

【Webシステムの開発において、発注者側が理解するべきポイント】本セミナーでは、WebシステムやWebサービスのオーナーが、そのシステム開発を委託する際のポイン…

セキュリティ強化対策【脆弱性監査とパッチ管理編】 【Kaspersky Labs Japan】  

開催日 6月28日(水)   開催地 東京都   参加費 無料

ランサムウェア「WannaCry」に代表されるように、OSやアプリケーションの“既知”脆弱性を悪用した脅威が増える中、脆弱性対策への取り組みが重要。最新脅威から…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3 | 4


30009578


IT・IT製品TOP > ネットワークセキュリティ > その他ネットワークセキュリティ関連 > その他ネットワークセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ