脆弱性（セキュリティホール）とは？放置するリスクと対策

昨今、世界的にサイバー攻撃の被害が増加している中で、情報セキュリティの重要性はますます高まっています。そのような中、脆弱性（セキュリティホール）という言葉を耳にしたことはないでしょうか。実は、この脆弱性が原因で多くの企業や個人が被害に遭っています。本記事では、脆弱性とは何か、脆弱性はどのようにして生まれるのか、そして企業が行うべき対策についてご紹介します。

脆弱性（セキュリティホール）とは？

脆弱性とは、コンピュータのOSやソフトウェア等において、プログラムの不具合（バグ）や設計上のミスが原因となって発生したサイバーセキュリティ上の欠陥のことをいいます。この脆弱性はコンピュータに限らず、スマートフォンやタブレット等のモバイルデバイスや、Webカメラやゲーム機等のIoT機器、Wi-fiルーター等のネットワーク機器に組み込まれたプログラム（ファームウェア）にも生じることがあります。
出典：国民のためのサイバーセキュリティサイト

最近は、VPN装置と呼ばれる機器のプログラム（ファームウェア）に生じた脆弱性を悪用されて不正アクセス被害に遭い、ランサムウェアと呼ばれるマルウェアに感染してシステムが使えなくなる、営業秘密を盗まれてしまう等の事例が報告されています。

ランサムウェアについて詳しくはこちらのコラムもご参照ください。

また、脆弱性は企業のホームページやECサイト等のプログラムにも見つかることがあります。見つかったWebサイトの脆弱性を放置していると、マルウェアをばらまくサイトに書き換えられてしまう、Webサイトで入力した個人情報やクレジットカード番号が盗み見られてしまう等、サイト利用者に被害を与え、企業の信頼低下につながる恐れがあります。

このように、攻撃者はソフトウェアやWebサイト等の脆弱性を利用してサイバー攻撃を仕掛けてくるため、脆弱性を放置せず適宜対応することが大切です。

脆弱性はなぜ生まれるのか？

上述で、脆弱性はプログラムの不具合や設計上のミスが原因で生じると紹介しました。そのほか、セキュリティ対策不足、外部からの攻撃や誤操作等によっても生まれます。

通常、コンピュータやIoT機器のプログラムは開発過程においてテストを行い、見つかった不具合を取り除いてから出荷・販売しています。ただし、テスト段階で発生した脆弱性を解消したつもりでも、その後新たな脆弱性が見つかることもあるため、完全に取り除くことは難しいと言えます。
また、新たな攻撃手法が見つかることによって、これまでは堅牢だったプログラムが脆弱となってしまうこともあります。出荷・販売後に脆弱性が見つかった場合、メーカーは不具合を修正したプログラムを、修正パッチ（プログラムアップデート）として配布しています。　
しかし、世の中にはメーカーがまだ把握していない脆弱性が存在します。まだ修正パッチがない脆弱性を悪用したサイバー攻撃を「ゼロデイ攻撃」と呼び、このゼロデイ攻撃を防ぐことは困難と言われています。

脆弱性を突かれやすいポイント

ここでは、脆弱性を突かれやすいポイントについてご紹介します。
主にパソコン、サーバ、ネットワークのそれぞれで注意すべきポイントを見ていきましょう。

パソコン

パソコンにはソフトウェアとパスワード、インターネット、3つの脆弱性を突かれやすいポイントがあります。

1.ソフトウェア

パソコンのOSやソフトウェアは、所有者や管理者のIT機器に関する知識不足、長期間使用していなかった等、様々な理由で更新を怠っている場合があります。その結果、脆弱性が放置されたままとなってしまいます。

2.パスワード

パスワードは不正なアクセスからシステムを保護するための重要な手段ですが、脆弱性があることも考えられます。他者が簡単に予測できるようなパスワードや同じパスワードを複数のシステムで使用することはセキュリティの脆弱性を作り出すことにつながります。

3.インターネット

インターネット上には、フィッシング詐欺やマルウェア感染といった悪意のあるWebサイトがあります。これらに引っかかることも脆弱性を作り出す原因となり、個人情報やクレジットカード情報等が盗まれることにもつながります。さらに、マルウェアに感染したパソコンが感染源となり、知らず知らずのうちに悪意のある攻撃を拡散することも考えられるでしょう。

サーバ

サーバは、顧客情報や技術情報等、機密情報にあたるデータを保有しているケースが多く、攻撃者にとっては魅力的な標的となります。
Webサイトを外部に公開するために使用されるWebサーバ等は、外部からの攻撃を受けやすく、セキュリティ対策が不十分な場合や古いソフトウェアを使用している場合に、脆弱性を狙ってサイバー攻撃を受ける可能性が高くなります。

ネットワーク

ここでいうネットワークは、パソコン、サーバ、プリンター、ルーター等複数のデバイスが相互に接続され、情報の共有やデータ通信が行われるシステムのことです。ネットワーク上の1つの機器がサイバー攻撃によって侵害されると、その機器は攻撃者に利用され、ネットワーク内の他の機器へ攻撃を拡大する等、ネットワーク全体に影響を与える可能性があります。さらに社員や顧客の個人情報や企業秘密といった機密情報が漏えいしてしまう可能性があり、甚大な被害に発展する恐れもあります。

そのほかには、スマートフォンやタブレット等のモバイルデバイス、Webカメラやゲーム機等のIoTデバイスも脆弱性を突かれやすいポイントとなります。これらのポイントに注意を払い、セキュリティ対策を講じることが脆弱性を減少させる重要な手段です。

脆弱性を起点としたサイバー攻撃を防ぐ方法

脆弱性にはさまざまなリスクがあることがわかりました。ここからは、脆弱性を起点としたサイバー攻撃を防ぐ方法をご紹介します。

1.こまめに修正パッチを適用する

いくらメーカーが修正パッチを作成・配布しても、利用者が適用しないと最新のパッチが反映されません。修正パッチが配布された際は、システムへの影響等を確認した上で速やかに適用することを心がけて下さい。製品によっては自動でアップデートするものもあるので積極的に利用しましょう。

2.利用している機器やソフトウェアに関する最新情報を収集する

ソフトウェアや機器に脆弱性が見つかった、新たに修正パッチを配布した等のソフトウェアや機器に関する情報を見落とさないように、常に情報収集してください。そのためにも、自社が利用しているソフトウェアや機器等のIT資産を正しく把握しておく必要があります。
脆弱性に関する情報は各メーカーがホームページで掲載している他に、IPA（情報処理推進機構）やJPCERT/CC、JVN iPediaといった組織が一覧としてまとめていますので、日々確認しましょう。

こちらのコラムも参照してください。

3.古い機器は買い替える

通常、脆弱性が見つかるとメーカーが修正パッチを作成・配布し、利用者に対して適用を促します。しかし機器のサポート期限が切れている場合や、販売元のメーカーが既に倒産している場合等、脆弱性が見つかっても修正パッチが作成されないことがあります。そういった機器を使い続けていると、サイバー攻撃を受けるリスクが高まるため、サポート期間が過ぎる前に買い替えることが推奨されています。
また、古いバージョンのOSを使用している場合も同様です。OSのセキュリティパッチやアップデートが提供されなくなる可能性があります。同様に、ネットワークに繋がっているファームウェアの提供が終了している古い機器（ルーターや複合機等）にも、脆弱性が存在する可能性があるでしょう。

4.利用するソフトウェアのアップデート方針を把握する

有償のソフトウェアに脆弱性が見つかった場合、製造者責任において修正パッチが作成されます。ただし、無償で配布しているソフトウェア（フリーウェア）によっては、「脆弱性が見つかってもアップデート対応しない」と製造者が明言をしているものもあります。フリーウェアは手軽に使える一方で、困ったときにサポートが受けられないといったデメリットもあることを理解した上で利用するようにしましょう。
また、有償のソフトウェアであっても、修正パッチを受け取るためにはメーカーとの保守契約締結が必須の場合もあります。有償、無償に関わらずソフトウェアを導入する際は、事前にアップデート対応方針をしっかり把握した上で、利用の可否を判断しましょう。

5.専門家による診断を受ける

専門家による詳細な診断により、見逃していた脆弱性を特定し、適切に対処することができます。自社が使用している機器やシステムをサイバー攻撃から守るために重要な手段です。

専門機関による診断には、次のようなメリットがあります。

• 詳細な脆弱性診断が可能
• 最新のサイバー攻撃に対応可能
• 客観的かつ公正な評価が得られる
• 顧客や取引先からの信頼性も向上する

少しでも不安がある場合、診断を受けることをおすすめします。

脆弱性対策に有効なALSOKのサービス

ここまで脆弱性を放置するリスクと対策についてご紹介しました。脆弱性は放置するとさまざまなリスクにつながり、中には企業に甚大な被害をもたらす可能性もあります。また、脆弱性は企業が適切にIT資産を管理できていない場合にも発生するため、IT資産の適切な管理が必要です。

そこでおすすめなのが脆弱性対策に有効なALSOKのサービスです。

「ALSOK IT資産管理」

「ALSOK IT資産管理」では社内で使用しているパソコンにインストールされているソフトウェアのバージョンや、修正パッチの適用状況を一元管理することが可能です。ソフトウェアの脆弱性情報も自動で収集するので、どのソフトウェアが古いのかを効率的に把握できます。収集した情報はクラウド上で保管し、離れたオフィスにあるパソコンの状況も確認することが可能です。さらに、管理者が遠隔でソフトウェアを更新することもできます。
サービス導入時の初期設定もALSOKがサポート、運用支援サービスが不要な場合はシステムのみのご利用も可能です。企業のご要望に合わせてさまざまなオプションサービス、プランをご用意しています。

「ALSOK UTM運用サービス」

ネットワーク内の情報資産や顧客情報を外部の脅威から守るオールインワンのネットワークセキュリティです。インターネットの出入口にUTMと呼ばれるセキュリティ機器を設置し、通信を常時監視します。もしUTMのファームウェアに脆弱性が見つかった場合は、必要に応じてALSOKが遠隔でアップデートをするため、UTMは常に安全な状態で利用することができます。

セキュリティ診断サービス

サイバーセキュリティの専門家が企業のホームページを診断して、脆弱性はないか、必要な対策は何かをアドバイスいたします。詳しくはALSOKまでお問い合わせください。

おわりに