2013年01月21日 08時00分 UPDATE
特集/連載

危険でも使わざるを得ない企業のためにJavaをアンインストールせずにセキュリティを高める方法

脆弱性が相次ぎ明るみに出るJava。根本的な対策はJavaのアンインストールだが、多くの業務システムがJavaに依存する現状では、難しい選択だ。他に有効な対策はないのだろうか?

[Nick Lewis,TechTarget]

 ここ数年、ハッカーの攻撃が変化しているのは周知の事実だ。企業のネットワークやプラットフォームへの侵入が非常に難しくなったことで、ハッカーたちはアプリケーションレイヤーという“攻撃しやすいターゲット”を狙うようになってきた。しかもそこには、“うま味”のあるターゲットがたくさん転がっているのだ。

 クライアントサイドの一般的なターゲットとしては、米Adobe Systemsの「Adobe Flash Player」「Adobe Reader」が挙げられる。だがハッカーにとって格好のアプリケーションレイヤーターゲットは、Java、特にJava Runtime Environment(JRE)ではないだろうか。

 米Sun MicrosystemsからJavaを引き継いだ米Oracleは、プログラミング言語、サーバサイド環境、広範に普及したクライアントサイドJREなど、さまざまな分野でJavaのエコシステムの拡大を進めてきた。だがハッカーらの攻撃で、JREの深刻な脆弱性が次々に明らかになってきた。こうした脆弱性の大半は、WindowsやMac OSなどの標準的なプラットフォーム向けのJREにある。ただし、Javaがクライアントソフトウェア用の広範なプラットフォームで利用されていることを考えれば、JREの脆弱性がもたらす深刻な影響が十分に理解されているとは言い難いのが現状だ。

 本稿では、Javaの脆弱性の最新状況について述べるとともに、エンタープライズ環境でJavaのセキュリティを強化する方法を紹介する。

一歩前進、一歩後退

 最近では、新たに明らかになったJavaの脆弱性を修正するパッチをOracleがリリースすると、ハッカーがすぐに新たな脆弱性を見つけ出すというイタチごっこが続いている。2012年9月にも、深刻な脆弱性が発見された。これは、JREの基本的なセキュリティ機能である「Type Safety」の弱点を突いて、Javaサンドボックスを回避するというものだ。この脆弱性を利用すれば、ハッカーはシステムのセキュリティを完全に無力化できる。

 さらに問題なのは、Javaのセキュリティパッチがハッカーに新たな攻撃の機会を与えている可能性があることだ。

この記事を読んだ人にお薦めの関連記事

注目テーマ

ITmedia マーケティング新着記事

news057.jpg

パナソニックが早稲田大学恩藏ゼミと協働でマーケティングプロジェクトを立ち上げ
パナソニックは、早稲田大学商学部 恩藏直人教授のゼミと協働で、マーケティングプロジェ...

news048.jpg

ぴあデジタルコミュニケーションズ、レシート換金アプリ「ONE」のワンファイナンシャルと協業
ぴあデジタルコミュニケーションズは、ワンファイナンシャルと協業すると発表した。

news018.jpg

「環境ブランド調査2018」サントリーが2年連続首位――日経BP社調べ
日経BP社は、「環境ブランド調査2018」の結果を発表しました。