ITにおける脆弱(ぜいじゃく)性とは、ソフトウェアに含まれる、セキュリティ侵害の起点になり得る欠陥を指す。侵入者は脆弱性をサイバー攻撃経路として悪用することで、標的のシステムで悪意のあるプログラム(マルウェア)の実行や、メモリへのアクセスができるようになる。(続きはページの末尾にあります)
システムに潜む脆弱性を検出するために役立つのが「脆弱性診断」ツールだ。数ある脆弱性診断ツールの中から、“使えるツール”を5つ紹介する。
システムに存在する脆弱性は「脆弱性診断」ツールを使うことで見つけやすくなる可能性がある。主要な脆弱性診断ツール「Open VAS」「Burp Suite」の特徴とは。
「Python 2」と「Python 3」にはさまざまな違いがある。ペネトレーションテストでの「Python」活用を推奨する有識者が、特筆すべき両者の違いを解説する。
Impervaの5年にわたる調査によって、脆弱性が放置されているデータベースの利用率が明らかになった。世界ワースト1として名指しされた国とはどこか。アジア太平洋地域ではどこが危険なのか。
身近な言葉を使った用語は一見すると分かりやすいものの、むしろ誤解を生むことがある。こうした用語の一つが「ネットワークテスト」だ。テスト対象によって微妙に異なる、ネットワークテストの意味をおさらいする。
WhiteSource Softwareがオープンソースコードのセキュリティ状況を調査し、レポートを公開した。脆弱性は前年比50%増と増大傾向にあるという。プログラミング言語別の脆弱性の状況も明らかになった。
最近の調査によると、Webサイトの大半がいまだに時代遅れのPHP バージョン5を使っている。だがセキュリティサポートの終了が2018年末に迫る中で、懸念が高まりつつある。
商用コードを監査した結果、多くのオープンソースコードが含まれていることが分かった。問題は、そのコードが内包している脆弱性が放置されていることだ。
Black Duck Softwareがオープンソースのアプリケーションを分析した結果、その多くでセキュリティ上の欠陥を内包していることが明らかになった。しかし、判明したリスクはセキュリティ面だけではなかった。
主要な脅威インテリジェンスサービスを比較し、その違いを確認する。脅威インテリジェンスサービスは企業の多様なセキュリティニーズにどう対処するのだろうか。
セキュリティ戦略にDNSの防御を組み込む必要がある。今回は、悪意のあるサイトに引きずり込まれるのを防ぐのにも有効な、DNSプロキシサービスについて紹介する。
複数の研究者が、オンラインショップの現状に警鐘を鳴らしている。多くのオンラインショップにセキュリティ上の脆弱性が存在し、カード情報を入手するためのコードが埋め込まれたサイトもあるという。
Microsoftの新しいWebブラウザ「Microsoft Edge」は幅広いセキュリティ機能を備え、従来の「Internet Explorer」よりも安全性を高めたという。本当にそうなのか。実際の機能を検証する。
Webサイトの暗号化を目指すGoogleの取り組みが続いている。Webブラウザ「Chrome」では2017年から、HTTPを使ってパスワードや決済情報を入力させる一切のサイトを安全ではないと認識して警告を表示する。
米政府機関やセキュリティ企業Rapid7は、多くのメーカーがルーターに認証情報をハードコードしており、攻撃者に悪用される可能性があると指摘した。このバックドアを悪用されると何が起きるのか?
調査の結果、VPNサービスを提供しているプロバイダーの多くに、情報漏えいの脆弱性が存在していた。その意外な原因とは?
5400件以上のOSSプロジェクトを解析し、24万件の欠陥を検出してきたCoverityが、約100億行のオープンソースコードと商用プロジェクトのコードを比較。OSSのコードがセキュリティに問題を抱える理由とは?
効果的なパッチ適用、管理体制を実現するには、各種エンドポイントセキュリティツールの中から適切なツールを選定する必要がある。本稿では、パッチ管理プロセスにお勧めのツールを紹介する。
企業はセキュリティ対策強化のために、FacebookのThreatDataフレームワークによるセキュリティアナリティクスから何を学べばいいのか。
2014年4月に発覚したOpenSSLの脆弱性「Heartbleed」。放置している企業もまだ多いというHeartbleedだが、それを悪用した不正ログインなどの被害が実際に起きている。実例を交えて、その実害を紹介する。
攻撃者は脆弱性を
といった、さまざまなサイバー攻撃手法に悪用する。脆弱性が発覚してから、その脆弱性が解消されるまでの期間を狙うサイバー攻撃を「ゼロデイ攻撃」と呼ぶ。
脆弱性対策は、ハードウェアやソフトウェアの攻撃経路になり得る欠陥を特定し、分析、対処する手法で構成される。脆弱性対策は、一般的には以下のプロセスを踏む。
ネットワークの定期的なスキャンや、ファイアウォールのログの記録、実際にシステムに侵入して脆弱性を確認するペネトレーションテスト、脆弱性スキャンなどを実施する。脆弱性の診断(脆弱性評価)やその自動化には、脆弱性スキャンツールを利用できる。業務プロセスに潜む脆弱性を特定するには、ペネトレーションテストが必要だ。このような脆弱性はネットワークやシステムをスキャンしても検出できるとは限らない。
脆弱性の診断結果に基づき、セキュリティの脆弱性を悪用する可能性があるマルウェアや攻撃手法といった脅威を特定する。
特定した脆弱性がサーバやアプリケーション、ネットワークなどのシステムで悪用される可能性があるかどうかを調べ、脆弱性の深刻度と企業にもたらすリスクを分析する。
セキュリティパッチが利用できるようになるまでの期間で、脆弱性が悪用されるのを防ぐ「リスク軽減」の方法を見つけ出す。システムの重要度が高くない場合には、影響のある部分をオフラインにするといった「リスク回避」の策を実行したり、何も対処しない「リスク受容」の判断をしたりする。
脆弱性が発覚したハードウェアやソフトウェアのベンダーからセキュリティパッチを入手して適用する。セキュリティパッチ管理ツールを使用すれば、セキュリティパッチの適用を自動化できる。このプロセスではセキュリティパッチのテストも実施する。
ITmediaはアイティメディア株式会社の登録商標です。
