ITにおける脆弱(ぜいじゃく)性とは、ソフトウェアに含まれる、セキュリティ侵害の起点になり得る欠陥を指す。侵入者は脆弱性をサイバー攻撃経路として悪用することで、標的のシステムで悪意のあるプログラム(マルウェア)の実行や、メモリへのアクセスができるようになる。(続きはページの末尾にあります)
MeltdownとSpectreの脆弱性がついに悪用された。それは、偽の修正パッチを配布してマルウェアに感染させるというものだった。
メールに起因する最悪の事態は常に起こり得る。こうした事態の対策と、開封確認メッセージを利用して「メール監査」ができる体制を作っておこう。GDPRに順守しつつ、組織を守る一助となる。
振り込め詐欺や還付金詐欺に利用される「不正口座」を早期に見つけ出すため、さまざまな対策を実施してきたセブン銀行。被害の未然防止に向け、より広い視点で口座の動きを解析するために着手したこととは。
セキュリティ専門家に「PowerShellが凶器と化した」と警告されてから約1年。事態はさらに悪化している。PowerShellが悪用されている現状と、PowerShellが狙われる理由を再確認しよう
コンピュータ化が進む現代の自動車。これを調査した結果、深刻な脆弱性が多数発見された。Wi-FiやBluetooth経由で車載ネットワークやECUが乗っ取られる可能性もあるという。
米国外のサーバに保管されたメールデータに米国政府はアクセスできるべきか否か。米国政府の要求に対して控訴で対抗したMicrosoft。控訴裁判所は、Microsoftの主張を是とした。
かねて危険性が指摘されてきたPowerShellのリスクが、Carbon Blackの脅威レポートによって初めて定量化された。PowerShellを使ったサイバー攻撃が増加する中、防御策はあるのか?
2015年、Microsoftは535個のパッチをリリースした。各パッチの必要性や当てたときの影響を調べてサーバやクライアントに適用することに、企業は限界を感じている。
HP Security Researchが、年に一度のサイバーリスクリポートを発表。このリポートにより、2014年に攻撃者が最も利用した攻撃手法が明らかとなった。
米国のテレビ局MSNBCを標的としたサイバー攻撃は、ニュース放送局やニュースWebサイトに寄せられる一般からの信頼がサイバー犯罪者によって悪用されたことを意味するとWebsense Security Labsは指摘する。
Androidの脆弱性を突いて、VPNの通信内容を攻撃者のサーバに平文で送信してしまうエクスプロイトが発見された。IT管理者が取るべき対策とは?
高性能ながら軽量・コンパクトな光ファイバー用OTDR検証テスター「OptiFiber OF-400」を発売。LAN検査に必要なすべての情報を画面上に表示でき、障害を素早く切り分けられる。
Webサイトのセキュリティ面での対応状況を診断する「Webサイトセキュリティ診断サービス」の販売。検索ページ、ECサイト、ソースコードなどを対象とした診断を行うオプションも用意
攻撃者は脆弱性を
といった、さまざまなサイバー攻撃手法に悪用する。脆弱性が発覚してから、その脆弱性が解消されるまでの期間を狙うサイバー攻撃を「ゼロデイ攻撃」と呼ぶ。
脆弱性対策は、ハードウェアやソフトウェアの攻撃経路になり得る欠陥を特定し、分析、対処する手法で構成される。脆弱性対策は、一般的には以下のプロセスを踏む。
攻撃者は、組織のITシステムの脆弱性を常に探している。悪用可能な脆弱性を発見すると、システムへの侵入や企業データへのアクセス、業務運営の妨害を試みる。さまざまなシステムやアプリケーションを保有する大規模な組織では、一つの脆弱性が組織全体への攻撃のきっかけとなる可能性がある。
医療機関や金融機関は、法律や条例で脆弱性対策が求められる場合がある。HIPAA(医療保険の相互運用性と説明責任に関する法律)、金融機関の情報管理やプライバシー保護の要件を定めるGLBA(グラム・リーチ・ブライリー法)、クレジットカード業界のセキュリティ基準のPCI DSS(Payment Card Industry Data Security Standard)といった法律や業界規制は、脆弱性対策の実践を義務付けている。国際標準化機構が策定した情報セキュリティマネジメントシステム(ISMS)の国際規格「ISO/IEC 27001」も、脆弱性対策を要求している。
上述のように脆弱性対策は単一のタスクではなく、ITセキュリティチームが継続的に実施する複数のステップからなるプロセスだ。未適用のパッチや設定ミス、保護されていない機密データなどの問題を調査する脆弱性診断に加えて、実際に攻撃が起こった時のリスクを測定するために、システムの脆弱性を意図的に悪用して検証するペネトレーションテストも含まれる。
脆弱性スキャンとペネトレーションテストの結果を用いて、潜在的な脅威を評価するため脆弱性評価を実施する。特定された脆弱性に関する情報は脅威インテリジェンスソフトウェアに取り込まれ、攻撃を受けた場合の影響の大きさや脆弱性の悪用の可能性に基づいてスコア化される。例えばシステムでリモートコードの実行を可能にする未適用のパッチは、高リスクと判断される可能性が高い。
セキュリティチームは、脆弱性の性質に合わせてさまざまな対策を講じ、検出された問題の優先順位付けと修復を実行する。組織のセキュリティチームは、脆弱性が発見されたシステムを担当するIT運用チームに対して、修復を依頼する。IT運用チームが修正パッチを適用した後に、セキュリティチームは脆弱性が適切に修正されたことを確認するためのスキャンを実行する。
脆弱性対策のプロセス全体を通じて、脆弱性の発見や修復の状況は追跡できるようにする。こうすることで組織のセキュリティリーダーと経営幹部は、セキュリティリスクの低減とコンプライアンスのための取り組みをリアルタイムで把握できる。
脆弱性対策のプロセスは、必ずしも順調に進むとは限らない。組織が対策を実施するときに直面する一般的な課題を以下に挙げる。
ITmediaはアイティメディア株式会社の登録商標です。
