エンジニアが解説する「脆弱性」とは?概要と対策について

 

ITでよく耳にする「脆弱性」について解説します。

 

つい最近も、2020/3/31にWeb会議サービス「Zoom」のWindoクライアントに脆弱性があるとPC情報サイトの米Bleeping Computerが報じました。

 

I太郎
なんか良くないことっていうのはわかるんだけどな
T之助
その認識でいいんですけどね、少し詳しく解説しましょう
 

 

脆弱性vulnerability 】  バルネラビリティ

 

コンピュータやソフトウェア、ネットワークなどもIT要素が抱える【セキュリティの弱点】のことです。

ここから悪い奴が入ってこれるんじゃないか??というポイントはすべて脆弱性があると判断できます。

 

T之助
情報セキュリティにおいて「脆弱性」は非常に重要な要素です!

情報セキュリティにおける「脆弱性」はコンピュータの問題だけではないということを覚えておいてください。正直、これさえ覚えていればもう脆弱性についてはIT素人卒業できます。



問題が発生する観点を3つにわけて考え、それぞれの対策を考えてみましょう!
 

脆弱性はコンピュータの問題だけではなく、対策は3つのパターンに分けて考える。

 
 

脆弱性対策パターン① システムの問題


おそらく最も一般的な脆弱性発生ポイントがシステムです。

プログラムのバグなどにより、外部からの侵入を許してしまうことで、データの抜き取りやシステム権限の奪取・ウイルスの侵入などがリスクに挙げられます。

 

ソフトウェアに問題があった場合は、修正プログラムや修正済みの新バージョンなどを提供してリカバリー対応とするのが多いですね。

 

システムの脆弱性から考えらるリスクの対策(セキュリティ製品)はこちら

対策 概要
アンチウイルスソフト 侵入したウイルスの検知や削除
フィルタリング 不正な情報の遮断(Webフィルタリング等)
暗号化 データを暗号化することで第三者から内容を隠す
ファイアウォール 不正な通信を遮断する

 

各製品の詳細は後日別記事で解説するので、当ブログの検索欄からキーワードを入力してみてください!

 

脆弱性対策パターン② 設定の問題

 

2つめのパターンは、システム上の設計ではなく、管理者の設定による問題です。

近年のIT企業では滅多に見られませんが、ITリテラシーの高くない企業では未だに発見されることが多い脆弱性です。

 

事務職員がデータの閲覧だけではなく、削除や書き込みもできるような権限になっている場合、万が一その事務員さんのPCが乗っ取られた(または第三者がPCを使用する)ときに重要なデータを書き換えられたり、システムに悪さをされるリスクが高くなります。

 

上記のような状態を、設定に脆弱性があると判断します。

 

設定の脆弱性から考えられるリスク対策はこちら

対策 概要
認証 アクセスするID・ユーザ・端末の管理制御
アクセス制御 アクセスするトラフィックの制御
IPS/IDS 不正な通信の遮断

 

脆弱性対策パターン③ 人為的な問題

 

3つめは人為的な問題です。

コンピュータやシステムを使用する最終的なユーザは殆どが人間ですよね。

いわゆる、「ヒューマンエラー」という人為的な問題により、セキュリティ事故が発生する件数が圧倒的に多いため、人為的な脆弱性対策は非常に重要です。

 

最も一般的なものは、迷惑メールかと思われます。

メール本文にウイルスやマルウェアを仕込んだURL・添付ファイルなどを記載して不特定多数に送りつける「スパムメール」ともいわれる脅威があります。

メールを受信して確認するのは人間ですから、ちょっとした不注意でURLをクリックしたり、メールの本文に騙されて添付ファイルを開いてしまうことも考えられます。

 

どんなに注意していたとしても、絶対になくすことができないのがヒューマンエラーの特徴です。人が人である以上、注意力には限界があるのです。

 

人為的な脆弱性の対策は以下が代表的です。

対策 概要
メールセキュリティ 迷惑メールやスパムメール等、不審な送信元からのメールを遮断する
情報セキュリティ教育 社員のITリテラシーを向上させるための教育
バディ体制の環境つくり ダブルチェックなどで判断ミスを減らす

 

人為的な脆弱性を減らすのは環境による抑制・対策が有効です。

 

脆弱性のまとめ

 

ここまで読んでくれたあなたは、脆弱性についてそこそこ知っている状態になれたと思っていいでしょう!

 

I太郎
聞いたことあるわ~!から、知ってる!に変わりました。

 

実際はもっと細かいのですが、「情報セキュリティマネジメント資格」等を取得する上ではこの「脆弱性」に対する考え方が非常に重要になるので、ぜひ参考にしてください。

 

 

 

最新情報をチェックしよう!