1.脆弱性情報とは？

脆弱性とは、情報セキュリティ上の欠点のことをいいます。コンピューターのOSやソフトウェアでは、プログラムの設計ミスや不具合などによって、悪意のある人から攻撃を受けやすくなることがあるのです。脆弱性は「セキュリティホール」とも呼ばれています。この脆弱性のあるソフトウェアやOSなどの情報を、脆弱性情報というのです。

2.脆弱性はバグとは違う？

脆弱性は、ソフトウェアの不具合や設計ミスなどから発生するものもあるため、バグと混同する人も少なくありません。しかし、脆弱性とバグには明確な違いがあります。まずバグとは、ソフトウェアの正常な動作を妨害するプログラム上の欠陥のことを指します。バグがあると制御不能な状態に陥ってしまったり、プログラムの異常停止やデータ破損などが起こったりするのです。バグがあることによってソフトウェアは正しく動作しませんし、起こる問題は基本的にはセキュリティに関するものだけではありません。不具合の内容も幅広く、軽重さまざまなものがあります。

対して脆弱性とは、開発者やユーザーが意図していない動作をしてしまう欠陥のことを指します。意図していない動作が攻撃者にとって都合の良いものであった場合、悪用される恐れがあるのです。脆弱性があると、ウイルスに感染させられる、システムに侵入されるなどの攻撃を受けてしまいます。バグとは違って外部からの攻撃を受ける可能性がある、悪用される恐れがあるものを脆弱性と呼んでいます。

3.脆弱性が発生する原因

脆弱性が発生する原因として代表的なものは、3つほどあります。まずは、プログラムのコーティングやシステムの設計ミスです。コーディングとはプログラムを書くことや、特定のコードに置き換えることをいいます。設計したシステムはプログラミング言語に置き換えなければいけないのですが、この際にミスをしていると脆弱性が発生してしまう場合があるのです。また、そもそもシステムの設計ミスがある場合も、同様に脆弱性が発生する場合があります。

2つ目の原因は、システム設計時の予測不足による不備です。システムを設計する場合には、想定されるあらゆる入力に対する対策を盛り込まなければいけません。ソフトウェアの脆弱性があることを想定してチェックなどをしなければいけないのです。この予測が不足していると、脆弱性が発生しやすくなります。

最後は、管理体制の不備です。脆弱性はソフトウェアの欠陥だけでなく、管理体制の不備によって発生することもあります。機密情報の管理方法や社内の管理体制などが原因で脆弱性が発生することもあるでしょう。これらは、ソフトウェアなどが原因で起こる脆弱性と区別するために「人為的脆弱性」と呼ばれることもあります。

4.脆弱性関連情報の届出制度

脆弱性を見つけた場合には、それを速やかに共有することが求められます。脆弱性を放置しておくと、悪意のある人に悪用されてしまう可能性が高くなるからです。脆弱性の情報が第三者に伝わらないように関係者に適切に情報を提供する仕組みとして、脆弱性関連情報の届出制度があります。脆弱性関連情報の届出制度があることで、脆弱性の修正を速やかに促すことができるのです。

脆弱性関連情報の届出制度は、経済産業省が告示している「ソフトウェア等脆弱性関連情報取扱基準」を基にしています。受付機関はIPAとなっています。脆弱性を発見した場合には、すぐにIPAに届出をしましょう。また、ウェブサイトの運営者やソフトウェアの開発者への連絡、公表などといった調整はJPCERT/CCが担当しています。

5.脆弱性の最新情報をチェック！

脆弱性があるソフトウェアやシステムをそのまま使っていると、攻撃を受けてしまう可能性があります。そのため、脆弱性の最新情報をしっかりとチェックしておくことが重要です。最新情報をチェックしておくことで、自社で使っている製品の安全性を確かめられます。また、情報を収集しておけば、脆弱性のあるソフトウェアをなるべく使わないようにするといった対策を取ることができます。そのため、ウイルス感染などのリスクを軽減することもできるでしょう。

脆弱性情報の最新情報を確認するには、IPAなどのセキュリティ情報サイトをチェックする、各ソフトウェアのメーカー公式ページで確認するといった方法があります。IPAでは重要なセキュリティ情報の一覧がありますから、定期的にチェックしておくと安心です。IPAでは影響度の高い緊急の情報なども公開されていますから、きちんと確認しておくようにしましょう。

メーカーの公式サイトでは、脆弱性に対する措置として修正パッチやアップデート情報が掲載されていることもあります。もし、脆弱性のあるソフトウェアやシステムを使っていた場合には、各メーカーの公式サイトを確認して、対策が取れるかどうか調べてみましょう。修正パッチなどをあてることで、脆弱性に対応することが可能です。

6.脆弱性による起こり得るリスク

脆弱性によって起こるリスクはいくつかあります。1つ目は、「情報漏洩」です。脆弱性があることで、ウイルス感染の危険性が高まります。不正操作を目的としたマルウェアなどに感染してしまうことで、情報漏洩の危険性は大きく上がるでしょう。パソコン内に大事な写真や動画、個人情報や友人のアドレスなどを保存している人も多くいます。それらがウイルスによって漏洩してしまう可能性があるので、注意が必要です。

「パソコンの乗っ取り」もリスクの1つです。認証のメカニズムを悪用することで、離れた場所からパソコンを不正に動かすことができます。不正なユーザーが正規ユーザーとしてログインして、システムを利用してしまうのです。パソコンを乗っ取られてしまえば、そこから情報漏洩などの問題が起こる可能性も高くなります。気づかないうちに、大切なデータを書き換えられるなどの被害もあるでしょう。それだけではなく、ネットワーク攻撃の踏み台にされる可能性もあります。犯罪に使われてしまうこともあるので注意が必要です。

「ネットバンキングやカード情報の流出」も大きな問題です。パソコンやスマートフォンから振り込みなどができるため、ネットバンキングを利用している人も多いでしょう。脆弱性を突かれることで、ネットバンキングの情報が流出してしまうこともあるのです。また、通販サイトなどにクレジットカードの情報を登録している場合は、その情報が流出する可能性もあります。不正利用の危険性もあるでしょう。

このように、脆弱性があることでサイバー攻撃を受けやすくなります。パソコンには個人情報や大事な情報がたくさん詰まっているので、脆弱性への対策は欠かせません。

7.企業で脆弱性が発生した場合のリスク

企業で脆弱性が発生した場合には、個人のパソコンとは違ったリスクがあります。まずは、情報漏洩や流出です。企業では、社員の個人情報や顧客情報などを保管しているでしょう。また、企業内の情報や機密情報をパソコンで管理していることも多くあります。そのため、脆弱性を突かれてウイルスが感染などすると、被害が大きくなってしまうのです。社内の機密情報が漏れてしまえば業務に支障をきたすことも考えられますし、顧客の情報が漏洩すれば信用問題にもかかわります。経営にもかかわってくるので、情報漏洩や流出は非常に大きな問題になりやすいのです。

自社サイトが改ざんされる可能性もあります。乗っ取りやウイルス感染などによって、自社のホームページの情報を改ざんされてしまうと、正確な情報が顧客に届きません。それだけではなく、悪用される危険性も高くなります。いたずら目的でホームページの見た目を大きく変えてしまわれたり、攻撃者の思想に基づく主張の掲載などがされたりすることで、信頼を失うといった問題が起こるのです。

また、自社サイトの改ざんは見た目を変えるだけに留まりません。閲覧者にウイルスを感染させることを目的として、ホームページの改ざんがおこなわれることもあるのです。これを、「水飲み場型攻撃」といいます。見た目では判別できないので、被害が拡大しやすい攻撃です。ウイルスを拡散させることで、標的の企業や組織に侵入するための足がかりを作るなど、気づかずに放っておくと更なる被害が起こってしまうので注意が必要でしょう。ウイルスをばらまく踏み台にされれば、社会的な信用も低下します。

8.脆弱性を発見した場合の対応

脆弱性を発見した場合には、しっかりとした対策を取ることが求められます。まず、ソフトウェアやプリンタ、ルーター、モバイル機器などのソフトウェアに脆弱性を発見した場合には、ソフトウェア製品の脆弱性としてIPAに届出をしましょう。ウェブサイトに脆弱性があった場合には、ウェブアプリケーションの脆弱性としてIPAに届出します。届出方法としては、ウェブフォームやメールなどです。IPAの公式サイトに受付に関する記載がありますから、それを参考にして届出するといいでしょう。

自社で開発したソフトウェアに脆弱性を発見する場合もあります。自社のソフトウェアに脆弱性を発見して修正したケースでは、自社製品脆弱性や脆弱性の対策情報として届出をおこないます。脆弱性の情報だけでなく、対策情報も合わせて届出しましょう。しっかりと届出をすることで、JVNで対策情報の公開がなされます。公開されれば、自社のセキュリティへの関心の高さのアピールや、しっかりと対策をおこなっていることへのアピールにもつながるのです。セキュリティへの関心が深いほうが、会社としての信頼性も高まりますから、脆弱性を発見・修正した場合には忘れずに届出をおこないましょう。

9.運営サイトは脆弱性診断をしよう！

運営サイトは脆弱性診断をしておくと、脆弱性を見つけやすくなるので安心です。脆弱性診断には、さまざまな方法があります。まずは、無料で診断する方法です。ウェブアプリケーションやネットワークの脆弱性を診断する無料ツールは多く公開されています。ただし、無料ツールの多くはある程度の知識がなければ利用できないものが多いので注意が必要です。また、なにを診断したらいいのかわからない場合には、無料ツールの中でもどれを選べばいいのかわからなくなりがちなので、有料ツールを使ったほうが安心でしょう。

有料の診断ツールでは、プラットフォーム診断とアプリケーション診断の2つの手段があります。プラットフォーム診断とはOSやプラットフォームを中心にして、ウェブサーバーやデータベースなどの診断をおこなうものです。アプリケーション診断は、ウェブサイトやサービスなどのアプリケーションを中心に診断します。診断方法としては、ツール診断と手動診断にわけられるので、自社にあった方法を選択するといいでしょう。ツール診断は比較的安価に使用でき自動で脆弱性を見つけてくれますが、誤検知率が高くなりがちです。手動診断は専門家が手動で診断するのでツール診断では見つけられない脆弱性も見つけられます。専門的な知識やスキルが必要なので、価格が高くなってしまうのがデメリットです。

万全の対策をするのなら、セキュリティのプロによるチェックを受けることが求められます。無料・有料問わず、ツール診断は手軽に使うことができ、安価で脆弱性のチェックができるので便利です。しかし、セキュリティのプロによる手動のチェックよりも、誤検知率が高くなってしまいます。脆弱性を見つけられない場合もあるので、定期的に第三者のプロによるチェックを受けておくことが重要です。

また、診断を受けたことで安心してはいけません。日ごろからセキュリティ対策への関心を高めておきましょう。セキュリティ対策で重要なのが、OSやソフトウェアの状態を最新に保っておくことです。古いOSやソフトウェアはウイルス感染の危険性が高まります。そのため、OSなどは常に最新の状態にして、セキュリティ対策を万全にしておきましょう。

10.脆弱性を減らして安全なインターネット環境を作ろう！

脆弱性を狙うサイバー攻撃はどんどん巧妙化しており、いつ被害にあうかわかりません。被害にあわないようにしたり被害の拡大を止めたりするためには、しっかりと対策をおこなうことが重要です。脆弱性情報をきちんと確認しておく、脆弱性を見つけたらすぐに修正や報告をすることを心がけましょう。適切な対策や対応を取ることで、より安全なインターネット環境を作っていくことができるのです。