ITにおける脆弱(ぜいじゃく)性とは、ソフトウェアに含まれる、セキュリティ侵害の起点になり得る欠陥を指す。侵入者は脆弱性をサイバー攻撃経路として悪用することで、標的のシステムで悪意のあるプログラム(マルウェア)の実行や、メモリへのアクセスができるようになる。(続きはページの末尾にあります)
米国立標準技術研究所が、脆弱性情報の更新方針を一部変更すると発表した。さらに、脆弱性識別子を管理する新たな組織が発足した。この混乱にIT部門担当者はどう臨めばいいのか。
人工知能(AI)技術の進化が追い風になり、2025年はセキュリティ分野でさまざまな変化が起きそうだ。具体的にはどのような動向が見込まれるのか。新たな視点で今後のトレンドを予測する。
IT製品の脆弱性は、ランサムウェアなどの攻撃の入り口として悪用される。特に、パッチが未提供の「ゼロデイ脆弱性」が危険だが、注意が必要なのはそれだけではない。
AI技術はビジネスに浸透しつつあるが、そのセキュリティ対策が不十分であることが明らかになった。具体的には何がどう駄目なのか。セキュリティベンダーの調査を見てみよう。
SonicWallのファイアウォール製品を使っている企業は、同製品の脆弱性が悪用され、ランサムウェア攻撃を受ける恐れがある。脆弱性の危険度や、打つべき対策とは。
2024年7月にCrowdStrikeのソフトウェアが障害を引き起こすのと同じタイミングで、Microsoft 365にも障害が発生した。これら2つの障害は、今後忘れてはならないある重要な事実を浮き彫りにした。
若い世代は、ホワイトハッカーの分野でも攻撃の分野でも存在感を高めている。なぜ若い世代によるハッキングが広がっているのか。ホワイトハッカーを対象にした調査を基に、その背景を探る。
ユニファイドコミュニケーション(UC)ツールを狙った攻撃が活発化する中、セキュリティ専門家はUCツールベンダーの安全対策が不十分だと指摘する。どういうことなのか。
非接触型決済をブロックするマルウェアが出現した。POS端末を標的とするマルウェア「Prilex」の亜種であり、消費者は物理的な支払いカードを使わざるを得なくなるという。この亜種の“本当の狙い”は何なのか。
IT製品の脆弱性は避けられない。「iPhone」「iPad」といったApple製品も同様だ。セキュリティ専門家は脆弱性そのものの危険性に加えて、脆弱性に対するAppleの姿勢に厳しい目を向けている。どういうことなのか。
「Chrome」のゼロデイ脆弱性を北朝鮮の攻撃者グループが悪用したとGoogleが明かした。攻撃の詳細は。攻撃者グループの意図とは。
IT製品に脆弱性が存在することが判明したら、専門機関が脆弱性に「CVE」を付与することが通例だ。だがクラウドサービスはそうではない。理由を歴史的背景に沿って解説する。
「iOS」脆弱性の詳細公表に踏み切ったセキュリティ研究者は、脆弱性に対するAppleの姿勢を批判した。これまでもバグハンターの間では、Appleへの不満がくすぶっていたという。どういうことなのか。
Mastercardは不正利用防止のためにAI技術を活用している。どのように生かしているのか。同社幹部に聞いた。
マルウェア感染の主要な経路となっているWebブラウザ。その安全性を高めるべく、ベンダー各社は知恵を絞っている。Webブラウザセキュリティの現状を追う。
なりすましメールを使った企業版振り込め詐欺ともいわれる「ビジネスメール詐欺」(BEC)。その手口はどのようなものなのか。具体的な被害は。調査結果を交えながら紹介する。
「Google Chrome」は、中国の認証局WoSignが発行した証明書を信頼できる証明書としては扱わない方針にした。この決定に至ったいきさつと、WoSign認証局の証明書を使用中のユーザー企業が取るべき対策を解説する。
「ランサムウェア」の被害は増えているが、身代金を支払わない企業が大半を占めていることが、2016年8月に実施されたOsterman Researchの調査で判明した。ランサムウェア攻撃に屈しないためにはどうすべきか。
以前から指摘されてきた「Flash」の危険性。事実上の後継技術と目される「HTML5」が普及の勢いを強め始める中、Flashはこのまま消えゆく運命なのだろうか。
「Java」の安全性を取り巻く状況は、いまだ好転していない――。米セキュリティ企業が発行したソフトウェアの脆弱性に関する調査リポートから、そんな現状が見えてきた。
攻撃者は脆弱性を
といった、さまざまなサイバー攻撃手法に悪用する。脆弱性が発覚してから、その脆弱性が解消されるまでの期間を狙うサイバー攻撃を「ゼロデイ攻撃」と呼ぶ。
脆弱性対策は、ハードウェアやソフトウェアの攻撃経路になり得る欠陥を特定し、分析、対処する手法で構成される。脆弱性対策は、一般的には以下のプロセスを踏む。
攻撃者は、組織のITシステムの脆弱性を常に探している。悪用可能な脆弱性を発見すると、システムへの侵入や企業データへのアクセス、業務運営の妨害を試みる。さまざまなシステムやアプリケーションを保有する大規模な組織では、一つの脆弱性が組織全体への攻撃のきっかけとなる可能性がある。
医療機関や金融機関は、法律や条例で脆弱性対策が求められる場合がある。HIPAA(医療保険の相互運用性と説明責任に関する法律)、金融機関の情報管理やプライバシー保護の要件を定めるGLBA(グラム・リーチ・ブライリー法)、クレジットカード業界のセキュリティ基準のPCI DSS(Payment Card Industry Data Security Standard)といった法律や業界規制は、脆弱性対策の実践を義務付けている。国際標準化機構が策定した情報セキュリティマネジメントシステム(ISMS)の国際規格「ISO/IEC 27001」も、脆弱性対策を要求している。
上述のように脆弱性対策は単一のタスクではなく、ITセキュリティチームが継続的に実施する複数のステップからなるプロセスだ。未適用のパッチや設定ミス、保護されていない機密データなどの問題を調査する脆弱性診断に加えて、実際に攻撃が起こった時のリスクを測定するために、システムの脆弱性を意図的に悪用して検証するペネトレーションテストも含まれる。
脆弱性スキャンとペネトレーションテストの結果を用いて、潜在的な脅威を評価するため脆弱性評価を実施する。特定された脆弱性に関する情報は脅威インテリジェンスソフトウェアに取り込まれ、攻撃を受けた場合の影響の大きさや脆弱性の悪用の可能性に基づいてスコア化される。例えばシステムでリモートコードの実行を可能にする未適用のパッチは、高リスクと判断される可能性が高い。
セキュリティチームは、脆弱性の性質に合わせてさまざまな対策を講じ、検出された問題の優先順位付けと修復を実行する。組織のセキュリティチームは、脆弱性が発見されたシステムを担当するIT運用チームに対して、修復を依頼する。IT運用チームが修正パッチを適用した後に、セキュリティチームは脆弱性が適切に修正されたことを確認するためのスキャンを実行する。
脆弱性対策のプロセス全体を通じて、脆弱性の発見や修復の状況は追跡できるようにする。こうすることで組織のセキュリティリーダーと経営幹部は、セキュリティリスクの低減とコンプライアンスのための取り組みをリアルタイムで把握できる。
脆弱性対策のプロセスは、必ずしも順調に進むとは限らない。組織が対策を実施するときに直面する一般的な課題を以下に挙げる。
ITmediaはアイティメディア株式会社の登録商標です。
