ITにおける脆弱(ぜいじゃく)性とは、ソフトウェアに含まれる、セキュリティ侵害の起点になり得る欠陥を指す。侵入者は脆弱性をサイバー攻撃経路として悪用することで、標的のシステムで悪意のあるプログラム(マルウェア)の実行や、メモリへのアクセスができるようになる。(続きはページの末尾にあります)
AIをベースにWebサービスを展開し、迅速に機能改善を加えるみらい翻訳では、その開発プロセスと、年に1回の脆弱性診断との間にある、ライフサイクルの不一致が課題となっていた。“外部診断頼り”を脱却すべく、同社が採用した方法とは。
「omni7」などのシステム開発に携わるセブン&アイ・ネットメディアは、脆弱性チェックツールを採用し、オープンソースも含む網羅的なセキュリティ対策に取り組んでいる。
Webアプリケーションのセキュリティ対策はますます需要が高まっており、最近では提供側が「脆弱性診断実施の有無」を問われることも少なくない。客観的基準に即した説明体制を、限られた予算と人材の中で実現する方法とは。
自社のWebサービスやWebアプリケーションの安全性を高める必要性は理解していても、開発スケジュールや予算の制約で脆弱(ぜいじゃく)性診断を行うのは容易ではない――この前提を覆し、時間や費用を抑えた診断ができるとしたら?
2017年に明るみに出た「WordPress」の脆弱性は、世界中で数多くのWebサイトが改ざんされるという大きな被害をもたらした。なぜ被害が広がったのか。有効な対策はあるのか。
Webサイトの脆弱(ぜいじゃく)性を見つけ出す「脆弱性診断サービス」。Webセキュリティの第一人者、HASHコンサルティングの徳丸 浩氏が具体的なサービスを例に、その使い方やレポートの見方を解説する。
相次いで明るみに出るWebサイト攻撃の被害。そもそも、なぜWebサイトは攻撃されるのか。Webサイトのセキュリティ対策の第一人者である徳丸 浩氏の話を基に、攻撃の実態を明らかにする。
深刻化する脅威からWebを守るべく、認証局やWebブラウザベンダーが協業を進める中で、さまざまな技術が登場し、また普及が進んだ。Webセキュリティで重要性が増す主要技術をおさらいしておこう。
セキュリティ分野で人工知能(AI)技術を使った自動化による業務効率化が期待されている。「Microsoft Security Copilot」を使えば、何がどうよくなるのか。その活用法を解説する。
サイバー攻撃は巧妙化を続けている。最新の攻撃の動向を知らないと、防御することは難しい。本資料で紹介する、世界94カ国、3万458件のセキュリティインシデントを分析した2024年版脅威レポート(DBIR)から、取るべき対策を探ってほしい。
アジャイル開発を導入する企業では、システムが複雑化する傾向があるため、脆弱性対策が難しくなりやすい。こうした環境において、手作業による管理で脆弱性情報を更新し続けるのは困難を極める。解決には、脆弱性対策の自動化が必要だ
インシデントに関するある調査によれば、脆弱性を悪用するエクスプロイトが初期侵入で多く使われる傾向が見て取れるという。中でも多いのが、VPN機器の脆弱性を突いた攻撃だ。不正侵入の入り口を常に探す攻撃者を、どう防げばよいのか。
人手不足が故に無線LANのメンテナンスがおざなりになる企業は多く存在する。結果、脆弱なアクセスポイントを使い続けることでセキュリティリスクを抱えている状況だ。負の循環を断ち切る方法はあるのか。
「Chromium」ベースのWebブラウザに見つかった脆弱性「CVE-2022-3656」を悪用すると、攻撃者は機密ファイルを盗み出すことができる可能性があるという。どのような脆弱性なのか。その影響とは。
「脆弱性診断」ツールは、システムに潜む脆弱性のあぶり出しに効力を発揮する。主な脆弱性ツールのうち、「Nessus」を取り上げる。
日本でも注目を集めている機械学習コンペティションプラットフォーム「Kaggle」。本稿では、2022年4月に東京で開催されて日本人エンジニアも活躍した大規模コンペティションの様子をお届けする。
ペネトレーションテスト担当者にとって、「Python」は優先して習得すべきプログラミング言語だと専門家は推奨する。それはなぜなのか。そもそもPythonは学びやすいのか。
Webアプリケーションに残っていた脆弱性を攻撃される事例が後を絶たない。公開するには脆弱性診断が必要だ。しかし開発に速度が求められる今、それだけでは対応しきれない。リリース間隔が短いWebアプリケーションでは別の取り組みも必要だ。
攻撃者は脆弱性を
といった、さまざまなサイバー攻撃手法に悪用する。脆弱性が発覚してから、その脆弱性が解消されるまでの期間を狙うサイバー攻撃を「ゼロデイ攻撃」と呼ぶ。
脆弱性対策は、ハードウェアやソフトウェアの攻撃経路になり得る欠陥を特定し、分析、対処する手法で構成される。脆弱性対策は、一般的には以下のプロセスを踏む。
攻撃者は、組織のITシステムの脆弱性を常に探している。悪用可能な脆弱性を発見すると、システムへの侵入や企業データへのアクセス、業務運営の妨害を試みる。さまざまなシステムやアプリケーションを保有する大規模な組織では、一つの脆弱性が組織全体への攻撃のきっかけとなる可能性がある。
医療機関や金融機関は、法律や条例で脆弱性対策が求められる場合がある。HIPAA(医療保険の相互運用性と説明責任に関する法律)、金融機関の情報管理やプライバシー保護の要件を定めるGLBA(グラム・リーチ・ブライリー法)、クレジットカード業界のセキュリティ基準のPCI DSS(Payment Card Industry Data Security Standard)といった法律や業界規制は、脆弱性対策の実践を義務付けている。国際標準化機構が策定した情報セキュリティマネジメントシステム(ISMS)の国際規格「ISO/IEC 27001」も、脆弱性対策を要求している。
上述のように脆弱性対策は単一のタスクではなく、ITセキュリティチームが継続的に実施する複数のステップからなるプロセスだ。未適用のパッチや設定ミス、保護されていない機密データなどの問題を調査する脆弱性診断に加えて、実際に攻撃が起こった時のリスクを測定するために、システムの脆弱性を意図的に悪用して検証するペネトレーションテストも含まれる。
脆弱性スキャンとペネトレーションテストの結果を用いて、潜在的な脅威を評価するため脆弱性評価を実施する。特定された脆弱性に関する情報は脅威インテリジェンスソフトウェアに取り込まれ、攻撃を受けた場合の影響の大きさや脆弱性の悪用の可能性に基づいてスコア化される。例えばシステムでリモートコードの実行を可能にする未適用のパッチは、高リスクと判断される可能性が高い。
セキュリティチームは、脆弱性の性質に合わせてさまざまな対策を講じ、検出された問題の優先順位付けと修復を実行する。組織のセキュリティチームは、脆弱性が発見されたシステムを担当するIT運用チームに対して、修復を依頼する。IT運用チームが修正パッチを適用した後に、セキュリティチームは脆弱性が適切に修正されたことを確認するためのスキャンを実行する。
脆弱性対策のプロセス全体を通じて、脆弱性の発見や修復の状況は追跡できるようにする。こうすることで組織のセキュリティリーダーと経営幹部は、セキュリティリスクの低減とコンプライアンスのための取り組みをリアルタイムで把握できる。
脆弱性対策のプロセスは、必ずしも順調に進むとは限らない。組織が対策を実施するときに直面する一般的な課題を以下に挙げる。
ITmediaはアイティメディア株式会社の登録商標です。
