「脆弱性対策」のノウハウ、賢い使い方のヒント

ユーザー企業のIT担当者を対象に、IT製品/サービスの導入・購買に役立つ情報を提供する無料の会員制メディア「TechTargetジャパン」。このコンテンツでは、運用&Tipsに関する運用&Tipsの記事を紹介します。製品/サービス選定の参考にご覧ください(リンク先のページはPR記事を含みます)。

脆弱性とは何か 「脆弱性対策」の具体的な方法も説明

 ITにおける脆弱(ぜいじゃく)性とは、ソフトウェアに含まれる、セキュリティ侵害の起点になり得る欠陥を指す。侵入者は脆弱性をサイバー攻撃経路として悪用することで、標的のシステムで悪意のあるプログラム(マルウェア)の実行や、メモリへのアクセスができるようになる。(続きはページの末尾にあります)

脆弱性対策関連の運用&Tips

不正なYouTube動画で投資詐欺 “薄利多売”で詐欺師がもうけた額は?

「YouTube」で活発化している暗号資産投資の詐欺。詐欺師はどのような仕組みでユーザーをだましているのか。その被害の実態とは。

(2023/4/19)

Webサイトがクラッシュしたときに「最低限やるべきこと」はこれだ

Webサイトのクラッシュは、未然に防ぐことがベストだ。だが、そうはいかないときもある。Webサイトがクラッシュしたときに、悪影響を最小限に抑える方法とは何か。

(2023/4/13)

「何も変更していないのにWebサイトがクラッシュ」 そのときの原因は?

クラウドサービスでWebサイトを運営している場合、何も手を加えていないのにWebサイトのクラッシュが発生することがある。それはなぜなのか。そのとき、まず何をすればいいのか。

(2023/3/16)

すぐには廃止できない「レガシーシステム」を少しでも安全にする方法は?

老朽化したシステムやそこに存在する脆弱性を取り除くことは一筋縄ではいかない。組織がレガシーシステムを利用するに当たって押さえるべきポイントを解説する。

(2023/3/10)

Webサイトを良くするはずの「プラグイン」がなぜ“クラッシュ”を招くのか

CMSの「プラグイン」は、うまく使えばWebサイトがより魅力的になる。ただし使い方によっては、プラグインがWebサイトのクラッシュを引き起こすことがある。こうした「逆効果」を防ぐには、どうすればいいのか。

(2023/3/2)

セキュリティ本の著者が教えちゃう「Windowsを安全に使う秘訣」とは?

攻撃による被害を防ぐためには、その入り口になり得る「Windows」のセキュリティを強化することが重要だ。具体的に何をすればいいのか。Windowsセキュリティの専門家に秘訣を聞いた。

(2023/2/24)

いまさら聞けない「Webページがクラッシュしました」の“クラッシュ”って何?

Webサイトの表示トラブルの際によく聞く「クラッシュ」という言葉には、そもそもどのような意味があるのか。クラッシュを防ぐためには、どうすればよいのか。

(2023/2/23)

Windowsを「危ないOS」にしないための“最も重要なこと”はこれだ

「Windows」を安全に使い続けることは簡単ではない。攻撃を受けても実害を出さないようにするためには、何をすればよいのか。Windowsセキュリティの専門家に聞いた。

(2023/2/16)

Javaアプリをおかしくする「外部システム」の厄介な問題とは? 対策は

Javaのランタイムエラーは、アプリケーションとやりとりする外部システムに起因する場合がある。こうしたランタイムエラーの対処方法を紹介しよう。

(2022/7/6)

「技術」リスクの軽視が“壊滅的な被害”を招く?

事業の基盤となる4つの要素からリスクを把握することで、企業を取り巻くリスクの全容やその関係性の把握に役立つ。本稿は、技術と設備の面から見たリスクを解説する。

(2022/6/9)

「いきなり本番で修正」は禁物 問題発生を防ぐバグ修正ノウハウとは?

重大なバグが発生したとき、ビジネス活動に欠かせないシステムを守りたいとIT担当者は考える。ただし、せっかちな対処は逆効果を招く恐れがある。どうすればいいのか。

(2022/5/6)

多くの企業が「MITRE ATT&CK」を活用できない残念な訳

MITRE ATT&CKを活用すればセキュリティが向上する。だが多くの企業はMITRE ATT&CKを使いこなせていない。その残念な理由と使いこなすための解決策を紹介する。

(2022/2/9)

中国、イラン、北朝鮮……「Log4Shell」を使った“官製ハッカー”の動きとは

国家が関わっている複数のハッカー集団が「Apache Log4j」の脆弱性「Log4Shell」を使い、攻撃を仕掛けている。今「誰」が「どう」動いているのか。

(2022/2/7)

Log4j騒動のあおり? MicrosoftやApple製品の重大パッチ適用が後回しされる訳

MicrosoftやAppleの製品に脆弱性が見つかりパッチが公開されたが、ユーザー企業の適用に遅れが出る可能性がある。防御策の妨げになるのは、話題の“あの脆弱性”だ。

(2022/1/28)

英国陸軍が進める「“ハッカー軍人”10万人育成計画」の中身

英国陸軍は軍人10万人にImmersive Labsのセキュリティ教育を受けさせ、サイバー攻撃に対抗するためのスキルを高める。内部に「セキュリティ専門家」を育てる英国陸軍の狙いは。

(2022/1/26)

LinkedInで自社の脆弱性が分かる? 出回っている情報の把握はなぜ重要なのか

企業はインターネットで自社について説明するさまざまな情報を公開しているため、システムに侵入されるリスクが高まる。どうすればいいのか。Linuxセキュリティの専門家に聞いた。

(2021/12/3)

報告者に報酬 脆弱性情報を集めるためにCISAが開始したプログラムとは?

米国で官民連携によって幅広く脆弱性情報を収集し、サイバー攻撃を未然に防ぐことを目指したプログラムが始動した。クラウドソーシングを使い、脆弱性の報告者に報酬を支払うこの仕組みはどのようなものか。

(2021/7/17)

パッチ適用による障害を避ける確実な方法

多くの管理者を悩ませる、パッチ適用時に不可解な理由で発生する障害。これを確実に避ける方法とは何か。

(2021/3/4)

ペネトレーションテスターは信頼できるのか

システムを実際に攻撃して脆弱性がないかどうかを調べるペネトレーションテスト。セキュリティの強化に有効ではあるが、ペネトレーションテスターが公開する情報が攻撃者に悪用されているという。

(2019/10/16)

無料で高機能のリバースエンジニアリングツール「Ghidra」とは? NSAが公開

米国家安全保障局(NSA)が、リバースエンジニアリングツール「Ghidra」を無償公開した。ハイエンドの商用製品並みの機能を搭載する。

(2019/3/22)

脆弱性対策に必要なプロセスとは

 攻撃者は脆弱性を

  • ソフトウェアに外部から不正な文字列を入力して侵害する「インジェクション攻撃」
  • バッファ(データを一時的に格納するメモリ領域)に許容量を超えるデータを書き込み、侵入の糸口にする「バッファオーバーフロー攻撃」

といった、さまざまなサイバー攻撃手法に悪用する。脆弱性が発覚してから、その脆弱性が解消されるまでの期間を狙うサイバー攻撃を「ゼロデイ攻撃」と呼ぶ。

脆弱性対策の5つのプロセス

 脆弱性対策は、ハードウェアやソフトウェアの攻撃経路になり得る欠陥を特定し、分析、対処する手法で構成される。脆弱性対策は、一般的には以下のプロセスを踏む。

1.脆弱性の診断

 ネットワークの定期的なスキャンや、ファイアウォールのログの記録、実際にシステムに侵入して脆弱性を確認するペネトレーションテスト、脆弱性スキャンなどを実施する。脆弱性の診断(脆弱性評価)やその自動化には、脆弱性スキャンツールを利用できる。業務プロセスに潜む脆弱性を特定するには、ペネトレーションテストが必要だ。このような脆弱性はネットワークやシステムをスキャンしても検出できるとは限らない。

2.脅威の特定

 脆弱性の診断結果に基づき、セキュリティの脆弱性を悪用する可能性があるマルウェアや攻撃手法といった脅威を特定する。

3.リスクの検証

 特定した脆弱性がサーバやアプリケーション、ネットワークなどのシステムで悪用される可能性があるかどうかを調べ、脆弱性の深刻度と企業にもたらすリスクを分析する。

4.リスクへの対処

 セキュリティパッチが利用できるようになるまでの期間で、脆弱性が悪用されるのを防ぐ「リスク軽減」の方法を見つけ出す。システムの重要度が高くない場合には、影響のある部分をオフラインにするといった「リスク回避」の策を実行したり、何も対処しない「リスク受容」の判断をしたりする。

5.セキュリティパッチ適用

 脆弱性が発覚したハードウェアやソフトウェアのベンダーからセキュリティパッチを入手して適用する。セキュリティパッチ管理ツールを使用すれば、セキュリティパッチの適用を自動化できる。このプロセスではセキュリティパッチのテストも実施する。