ITにおける脆弱(ぜいじゃく)性とは、ソフトウェアに含まれる、セキュリティ侵害の起点になり得る欠陥を指す。侵入者は脆弱性をサイバー攻撃経路として悪用することで、標的のシステムで悪意のあるプログラム(マルウェア)の実行や、メモリへのアクセスができるようになる。(続きはページの末尾にあります)
AIをベースにWebサービスを展開し、迅速に機能改善を加えるみらい翻訳では、その開発プロセスと、年に1回の脆弱性診断との間にある、ライフサイクルの不一致が課題となっていた。“外部診断頼り”を脱却すべく、同社が採用した方法とは。
「omni7」などのシステム開発に携わるセブン&アイ・ネットメディアは、脆弱性チェックツールを採用し、オープンソースも含む網羅的なセキュリティ対策に取り組んでいる。
Webアプリケーションのセキュリティ対策はますます需要が高まっており、最近では提供側が「脆弱性診断実施の有無」を問われることも少なくない。客観的基準に即した説明体制を、限られた予算と人材の中で実現する方法とは。
自社のWebサービスやWebアプリケーションの安全性を高める必要性は理解していても、開発スケジュールや予算の制約で脆弱(ぜいじゃく)性診断を行うのは容易ではない――この前提を覆し、時間や費用を抑えた診断ができるとしたら?
2017年に明るみに出た「WordPress」の脆弱性は、世界中で数多くのWebサイトが改ざんされるという大きな被害をもたらした。なぜ被害が広がったのか。有効な対策はあるのか。
Webサイトの脆弱(ぜいじゃく)性を見つけ出す「脆弱性診断サービス」。Webセキュリティの第一人者、HASHコンサルティングの徳丸 浩氏が具体的なサービスを例に、その使い方やレポートの見方を解説する。
相次いで明るみに出るWebサイト攻撃の被害。そもそも、なぜWebサイトは攻撃されるのか。Webサイトのセキュリティ対策の第一人者である徳丸 浩氏の話を基に、攻撃の実態を明らかにする。
深刻化する脅威からWebを守るべく、認証局やWebブラウザベンダーが協業を進める中で、さまざまな技術が登場し、また普及が進んだ。Webセキュリティで重要性が増す主要技術をおさらいしておこう。
アジャイル開発を導入する企業では、システムが複雑化する傾向があるため、脆弱性対策が難しくなりやすい。こうした環境において、手作業による管理で脆弱性情報を更新し続けるのは困難を極める。解決には、脆弱性対策の自動化が必要だ
インシデントに関するある調査によれば、脆弱性を悪用するエクスプロイトが初期侵入で多く使われる傾向が見て取れるという。中でも多いのが、VPN機器の脆弱性を突いた攻撃だ。不正侵入の入り口を常に探す攻撃者を、どう防げばよいのか。
人手不足が故に無線LANのメンテナンスがおざなりになる企業は多く存在する。結果、脆弱なアクセスポイントを使い続けることでセキュリティリスクを抱えている状況だ。負の循環を断ち切る方法はあるのか。
「Chromium」ベースのWebブラウザに見つかった脆弱性「CVE-2022-3656」を悪用すると、攻撃者は機密ファイルを盗み出すことができる可能性があるという。どのような脆弱性なのか。その影響とは。
「脆弱性診断」ツールは、システムに潜む脆弱性のあぶり出しに効力を発揮する。主な脆弱性ツールのうち、「Nessus」を取り上げる。
日本でも注目を集めている機械学習コンペティションプラットフォーム「Kaggle」。本稿では、2022年4月に東京で開催されて日本人エンジニアも活躍した大規模コンペティションの様子をお届けする。
ペネトレーションテスト担当者にとって、「Python」は優先して習得すべきプログラミング言語だと専門家は推奨する。それはなぜなのか。そもそもPythonは学びやすいのか。
Webアプリケーションに残っていた脆弱性を攻撃される事例が後を絶たない。公開するには脆弱性診断が必要だ。しかし開発に速度が求められる今、それだけでは対応しきれない。リリース間隔が短いWebアプリケーションでは別の取り組みも必要だ。
2021年8月、大手IT企業数社の製品に脆弱性が見つかった。各社は被害の報告は受けていないというが、セキュリティアップデートの実行を推奨している。脆弱性はどのようなものだったのか。
「Apache HTTP Server」の脆弱性を悪用する攻撃を観測したという発表を受け、セキュリティ専門家は、利用者に対してパッチの適用を強く推奨している。その理由とは。
攻撃者は脆弱性を
といった、さまざまなサイバー攻撃手法に悪用する。脆弱性が発覚してから、その脆弱性が解消されるまでの期間を狙うサイバー攻撃を「ゼロデイ攻撃」と呼ぶ。
脆弱性対策は、ハードウェアやソフトウェアの攻撃経路になり得る欠陥を特定し、分析、対処する手法で構成される。脆弱性対策は、一般的には以下のプロセスを踏む。
ネットワークの定期的なスキャンや、ファイアウォールのログの記録、実際にシステムに侵入して脆弱性を確認するペネトレーションテスト、脆弱性スキャンなどを実施する。脆弱性の診断(脆弱性評価)やその自動化には、脆弱性スキャンツールを利用できる。業務プロセスに潜む脆弱性を特定するには、ペネトレーションテストが必要だ。このような脆弱性はネットワークやシステムをスキャンしても検出できるとは限らない。
脆弱性の診断結果に基づき、セキュリティの脆弱性を悪用する可能性があるマルウェアや攻撃手法といった脅威を特定する。
特定した脆弱性がサーバやアプリケーション、ネットワークなどのシステムで悪用される可能性があるかどうかを調べ、脆弱性の深刻度と企業にもたらすリスクを分析する。
セキュリティパッチが利用できるようになるまでの期間で、脆弱性が悪用されるのを防ぐ「リスク軽減」の方法を見つけ出す。システムの重要度が高くない場合には、影響のある部分をオフラインにするといった「リスク回避」の策を実行したり、何も対処しない「リスク受容」の判断をしたりする。
脆弱性が発覚したハードウェアやソフトウェアのベンダーからセキュリティパッチを入手して適用する。セキュリティパッチ管理ツールを使用すれば、セキュリティパッチの適用を自動化できる。このプロセスではセキュリティパッチのテストも実施する。