目次

• そもそも脆弱性とは何か？
• 脆弱性が発生する要因とは？
• 他のセキュリティリスクとの違い
• 脆弱性によるリスク
• 脆弱性対策に効果的な方法
• 情報セキュリティ対策をすすめるなら
• まとめ
• 関連サービス

そもそも脆弱性とは何か？

脆弱性とは、コンピュータやソフトウェアがどのような状態にあることを指すのでしょうか。総務省における定義では、「コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥」とされています。

参照：国民のためのサイバーセキュリティサイト
※外部サイトへ移動します

脆弱性は「セキュリティホール」と呼ばれる場合もあります。日本語では「セキュリティ上の穴」という意味となり、より脆弱性の概要が分かりやすいと思います。
脆弱性が生じた状態をそのままにしておくと、先に述べたように何者かの悪用によるサイバー攻撃など、不正行為のおそれがあります。たとえ他の情報セキュリティが整備された状態であっても、今ある脆弱性への対策がされなければ防御の状態は不完全です。また、現在ある脆弱性が解決できればそれでよいというわけではなく、ソフトウェアの更新などによって新たな脆弱性が生み出される可能性もあります。

現在、企業や団体の各種業務において、インターネットの活用は必要不可欠です。しかし常時インターネットに接続されている状態は、すなわち何者かから攻撃を受ける危険も常にともなうといえます。企業や団体が安心して業務を行うためには、最新の脆弱性が見つかり次第、即時に対策できる状況にしておくことが必要でしょう。

脆弱性が発生する要因とは？

コンピュータやソフトウェアに脆弱性が生じる要因には、どのようなものがあるのでしょうか。おもな脆弱性の発生要因としては、以下のようなものが挙げられます。

これらを未然に防ぐ方法として、脆弱性の存在を前提に先回りの形でチェックできれば脆弱性の発生は回避できるという意見もありますが、攻撃者も新たな手口を次々と生み出し続けています。このようなことから、従来想定内になかった脆弱性があとで見つかるなどの可能性もあり、脆弱性の完全回避は現実的ではないとされているのです。

他のセキュリティリスクとの違い

脆弱性は、他のセキュリティリスクとどのような点が異なるのでしょうか。
一般的なセキュリティリスクとは、マルウェアによる被害やWebサイトの改ざん、あるいは担当者の過失や物理的な事故・災害などの「脅威」を指します。一方で脆弱性とは、それらの脅威につながる何らかの弱点を指しています。

実際に行われるサイバー攻撃やセキュリティ事故などが一般的なセキュリティリスクなら、脆弱性はそれらのリスクを引き起こす要因と考えるとよいでしょう。
この記事では脆弱性について、コンピュータやソフトウェアの内部に由来するものをとりあげていますが、外部にも脆弱性は存在します。たとえば、災害によって被害を受けやすい立地にコンピュータがあることも脅威につながる弱点です。また、重要な情報が含まれるデータの管理が杜撰に行われていることなども、セキュリティリスクを誘発する脆弱性の一種だといえます。

脆弱性によるリスク

コンピュータやソフトウェアに生じた脆弱性を放置すると、さまざまなリスクがともなうことを説明してきました。ここでは、脆弱性による具体的なリスクの詳細を紹介します。

1．マルウェア感染

脆弱性への対策を行わずそのままにしていると、マルウェアに感染する可能性が高まります。マルウェアとは「迷惑プログラム」とも呼ばれ、悪意のある第三者によって不正に作成された有害なソフトウェアやコードを指す名称です。よく知られているマルウェアの種類としては、コンピュータウイルス、ワーム、スパイウェア、キーロガー、トロイの木馬、ボットなどがあります。

マルウェアに感染したコンピュータは、操作通りの動作を行わなくなったり、起動しなくなったりします。コンピュータ内のファイルを勝手に消去したり、内容を改ざんしたり、勝手にネットワーク上に共有したりすることもあります。業務に支障をきたすことにとどまらず、重要な機密情報の漏えいにつながる可能性もあるのです。

マルウェアの中には、感染したコンピュータをサイバー攻撃の踏み台に用いるものもあります。それらの被害を受けると、被害者が知らないうちに攻撃の加害者になってしまう事態にもなりかねません。

2．Webサイトの改ざん

企業や団体のWebサイトに脆弱性が生じると、それを悪用されサーバーや情報システムへ不正侵入され、内容の改ざんが行われてしまうリスクが発生します。

Web改ざんには大きく分けて、イタズラや政治的メッセージの発信などが目的のテキスト・画像の差し替えと、対象へ損害を与える目的で行われるWebサイトにマルウェアを埋め込むものの2種類があります。近年増えている後者のケースでは、改ざんされたサイトを顧客や関係者が開いた際に外部のサイトに転送されたり、マルウェアに感染したりする可能性があります。

感染したコンピュータが管理する別のサイトも次々にデータを改ざんされ、それを表示したコンピュータがまた感染し……というように、感染の拡大も考えられるでしょう。マルウェアに感染したコンピュータは、操作に不具合が生じたり不正な動作によって情報の漏えいが発生したりするおそれもあります。

また、改ざんによって偽の入力フォームが設置され、そこに入力された個人情報などを窃取されることもあります。

3．システムの停止

脆弱性をついてシステムへ不正侵入されると、調査や復旧までの間、システムやサービスを停止せざるを得ない状況へ追い込まれる場合もあります。また、管理者権限が乗っ取られシステム自体が停止される可能性もあります。

営業時間中にシステム停止が発生すれば、機会損失などの被害が発生します。

脆弱性対策に効果的な方法

脆弱性は見つかり次第放置することなく、早急な対策を行う必要があります。しかし、脆弱性は通常どおりコンピュータを使用しているだけでは見つかるものではありません。ここでは、企業で自主的に取り入れられる効果的な脆弱性対策を紹介します。

1．使用中の各ソフトウェアやOSの更新

脆弱性対策の基本ともいえるのが、OSやソフトウェアを常時最新にアップデートしておくことです。たとえば、OSの更新情報が届いたらすぐにアップデートを行うなどの取り組みを怠らずに実施しましょう。

しかし大規模なアップデートの場合は所要時間が長くかかるため、業務の妨げとなる可能性もあります。そのような場合は勤務時間外に更新するなどの手段を活用し、業務への影響を最小限に抑えましょう。もっとも重要なのは、更新の通知が来ても「時間がかかるから」などの理由で後回しにしてしまわないことです。

2．最新のセキュリティ情報を常に把握する

社内のセキュリティ担当者に管理を丸投げせず、コンピュータの使用者や管理職の人間も最新のセキュリティ情報について知っておくことが大切です。たとえば、ベンダーに提供されたソフトウェアのアップデートが行われる場合、事前に期日や内容に関する告知が必ずあります。コンピュータを使用するすべての人がそれらを気にかけておき、何かあるまで気づかずじまいになる事態を防ぎましょう。

また、事前にアップデートの予定が分かった時点で、アップデート日までに何らかの事態が発生する可能性も想定し、セキュリティに関する意識や備えをしておくことも大切です。

3．定期的に脆弱性診断を実施する

セキュリティの状態を確認するためには、脆弱性診断（セキュリティ診断）を実施するという手があります。脆弱性診断とは、OSやネットワーク機器について脆弱性の有無を診断するサービスのこと。運用中のシステムや、本格稼働前のシステムのセキュリティが万全な状態かどうかを確認することができます。

OSの更新やウイルス対策ソフトなどの基本的な対策に次いで、重要なセキュリティ対策とされています。

情報セキュリティ対策をすすめるなら

先に述べたとおり、脆弱性は容易に見つけられるものではありません。気づかずにマルウェアなどの被害を受けてしまうといった不測の事態を未然に防ぐには、情報セキュリティ対策の徹底も欠かせないでしょう。

NECフィールディングでは、さまざまな情報セキュリティサービスを提供しています。サイバー攻撃や内部不正への具体的な対策から、従業員研修や訓練、脆弱性診断など事前の備えまで各種お選びいただけますので、以下もぜひご覧ください。
https://www.fielding.co.jp/service/security/

まとめ

脆弱性は偶発的に生じるケースも少なくなく、その発生を未然に抑えることは困難といわれています。それだけに、不正アクセスやマルウェア感染などの具体的なリスクに対処できる情報セキュリティ対策は必須といえるでしょう。

情報セキュリティに関して不安やお悩みをお持ちであれば、NECフィールディングまでぜひご相談ください。企業さまのご要望や現状を詳細にヒアリングし、最適なソリューションを提案します。

関連サービス

• セキュリティ対策サービス

発行元：NECフィールディング

お客さま事業・業務にお役立ていただける情報をお届けします。
ご相談はお問い合わせフォームよりご連絡ください。
※当社は法人向けサービスを提供しているため、個人のお客さまに対してはサービス提供できません。あらかじめご了承ください。