ITにおける脆弱(ぜいじゃく)性とは、ソフトウェアに含まれる、セキュリティ侵害の起点になり得る欠陥を指す。侵入者は脆弱性をサイバー攻撃経路として悪用することで、標的のシステムで悪意のあるプログラム(マルウェア)の実行や、メモリへのアクセスができるようになる。(続きはページの末尾にあります)
システムに潜む脆弱性を検出するために役立つのが「脆弱性診断」ツールだ。数ある脆弱性診断ツールの中から、“使えるツール”を5つ紹介する。
システムに存在する脆弱性は「脆弱性診断」ツールを使うことで見つけやすくなる可能性がある。主要な脆弱性診断ツール「Open VAS」「Burp Suite」の特徴とは。
「Python 2」と「Python 3」にはさまざまな違いがある。ペネトレーションテストでの「Python」活用を推奨する有識者が、特筆すべき両者の違いを解説する。
MeltdownとSpectreの脆弱性がついに悪用された。それは、偽の修正パッチを配布してマルウェアに感染させるというものだった。
メールに起因する最悪の事態は常に起こり得る。こうした事態の対策と、開封確認メッセージを利用して「メール監査」ができる体制を作っておこう。GDPRに順守しつつ、組織を守る一助となる。
振り込め詐欺や還付金詐欺に利用される「不正口座」を早期に見つけ出すため、さまざまな対策を実施してきたセブン銀行。被害の未然防止に向け、より広い視点で口座の動きを解析するために着手したこととは。
セキュリティ分野で人工知能(AI)技術を使った自動化による業務効率化が期待されている。「Microsoft Security Copilot」を使えば、何がどうよくなるのか。その活用法を解説する。
サイバー攻撃は巧妙化を続けている。最新の攻撃の動向を知らないと、防御することは難しい。本資料で紹介する、世界94カ国、3万458件のセキュリティインシデントを分析した2024年版脅威レポート(DBIR)から、取るべき対策を探ってほしい。
AIをベースにWebサービスを展開し、迅速に機能改善を加えるみらい翻訳では、その開発プロセスと、年に1回の脆弱性診断との間にある、ライフサイクルの不一致が課題となっていた。“外部診断頼り”を脱却すべく、同社が採用した方法とは。
本来は企業を守るはずのPalo Alto Networks製ファイアウォールが、攻撃の入り口になりかねない脆弱性が発見された。認証を回避できるこの脆弱性は、すでに攻撃が観測されている。やるべき対処とベンダーの見解は。
2025年1月下旬にDeepSeekのAIサービスが攻撃の標的になった。攻撃者の狙いは何だったのか。DDoS攻撃の可能性があるが、他の可能性もある。セキュリティ専門家に聞いた。
Appleは、「CVE-2025-24085」として追跡されているゼロデイ脆弱性が、同社のメディア処理フレームワークに影響を与え、iOS 17.2以前のバージョンで悪用された可能性があると発表した。
IT運用のアウトソーシングはさまざまなリスクを招きかねない。英国の法律事務所もそのわなにはまってしまった。同社の失敗から何を学ぶべきか。
数多くの組織が利用する「Firefox」や「Windows」の脆弱性を連鎖させてシステムに入り込む攻撃について、ESETは警鐘を鳴らしている。その手口とはどのようなものなのか。
システムが多様化したりインターネット接続が増えたりすると、侵入口になる「攻撃対象領域」(アタックサーフェス)も広がる。アタックサーフェスを管理し、攻撃を受けるリスクを減らすにはどうすればいいのか。
重大なバグは発生したら、IT部門に問い合わせが殺到する。それでも冷静に動いて適切に情報発信するための手法がある。緊急時におけるコミュニケーションのノウハウを紹介する。
人工知能(AI)技術の進化が追い風になり、2025年はセキュリティ分野でさまざまな変化が起きそうだ。具体的にはどのような動向が見込まれるのか。新たな視点で今後のトレンドを予測する。
IT製品の脆弱性は、ランサムウェアなどの攻撃の入り口として悪用される。特に、パッチが未提供の「ゼロデイ脆弱性」が危険だが、注意が必要なのはそれだけではない。
AI技術はビジネスに浸透しつつあるが、そのセキュリティ対策が不十分であることが明らかになった。具体的には何がどう駄目なのか。セキュリティベンダーの調査を見てみよう。
攻撃者は脆弱性を
といった、さまざまなサイバー攻撃手法に悪用する。脆弱性が発覚してから、その脆弱性が解消されるまでの期間を狙うサイバー攻撃を「ゼロデイ攻撃」と呼ぶ。
脆弱性対策は、ハードウェアやソフトウェアの攻撃経路になり得る欠陥を特定し、分析、対処する手法で構成される。脆弱性対策は、一般的には以下のプロセスを踏む。
攻撃者は、組織のITシステムの脆弱性を常に探している。悪用可能な脆弱性を発見すると、システムへの侵入や企業データへのアクセス、業務運営の妨害を試みる。さまざまなシステムやアプリケーションを保有する大規模な組織では、一つの脆弱性が組織全体への攻撃のきっかけとなる可能性がある。
医療機関や金融機関は、法律や条例で脆弱性対策が求められる場合がある。HIPAA(医療保険の相互運用性と説明責任に関する法律)、金融機関の情報管理やプライバシー保護の要件を定めるGLBA(グラム・リーチ・ブライリー法)、クレジットカード業界のセキュリティ基準のPCI DSS(Payment Card Industry Data Security Standard)といった法律や業界規制は、脆弱性対策の実践を義務付けている。国際標準化機構が策定した情報セキュリティマネジメントシステム(ISMS)の国際規格「ISO/IEC 27001」も、脆弱性対策を要求している。
上述のように脆弱性対策は単一のタスクではなく、ITセキュリティチームが継続的に実施する複数のステップからなるプロセスだ。未適用のパッチや設定ミス、保護されていない機密データなどの問題を調査する脆弱性診断に加えて、実際に攻撃が起こった時のリスクを測定するために、システムの脆弱性を意図的に悪用して検証するペネトレーションテストも含まれる。
脆弱性スキャンとペネトレーションテストの結果を用いて、潜在的な脅威を評価するため脆弱性評価を実施する。特定された脆弱性に関する情報は脅威インテリジェンスソフトウェアに取り込まれ、攻撃を受けた場合の影響の大きさや脆弱性の悪用の可能性に基づいてスコア化される。例えばシステムでリモートコードの実行を可能にする未適用のパッチは、高リスクと判断される可能性が高い。
セキュリティチームは、脆弱性の性質に合わせてさまざまな対策を講じ、検出された問題の優先順位付けと修復を実行する。組織のセキュリティチームは、脆弱性が発見されたシステムを担当するIT運用チームに対して、修復を依頼する。IT運用チームが修正パッチを適用した後に、セキュリティチームは脆弱性が適切に修正されたことを確認するためのスキャンを実行する。
脆弱性対策のプロセス全体を通じて、脆弱性の発見や修復の状況は追跡できるようにする。こうすることで組織のセキュリティリーダーと経営幹部は、セキュリティリスクの低減とコンプライアンスのための取り組みをリアルタイムで把握できる。
脆弱性対策のプロセスは、必ずしも順調に進むとは限らない。組織が対策を実施するときに直面する一般的な課題を以下に挙げる。
ITmediaはアイティメディア株式会社の登録商標です。
