( 1 ) 脆弱性とは?
「脆弱」とは、そもそも「基礎・中心になるものがこわれやすくて、扱いに注意を要する様子だ」(新明解国語辞典第六版)という意味ですが、ここでいう脆弱性は情報セキュリティやサイバーセキュリティに関する用語で、「セキュリティホール」とも呼ばれています。総務省の「国民のための情報セキュリティサイト」では、「コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥」と説明されています。
脆弱性が残ったままコンピュータを使い続けると、ウイルスをはじめとするマルウェア(※1)に感染するなどのリスクが高まります。脆弱性が発見された場合の多くは、ソフトウェアの開発メーカーが更新プログラムを作成し、無償でユーザーに提供しています。
( 2 ) 脆弱性をついたサイバー攻撃
脆弱性をついた攻撃の種類は実にさまざまで、攻撃者は新たな脆弱性を見つけては次々に攻撃を仕掛けてきます。例えば、
- ウイルスの発信源になってしまう
- 不正アクセスによってホームページが改ざんされる
- ほかのコンピュータを攻撃するための踏み台として利用される
などの被害が広がる可能性があります。
サイバー攻撃の手口はますます巧妙化しており、最近ではゼロデイ攻撃(※2)と呼ばれる脅威が増加しています。ゼロデイ攻撃とは脆弱性が発見された際、メーカーが対策を講じる前にその脆弱性を狙う攻撃のことです。完全な対応策は難しいとされていますが、修正プログラムが適用されるまではその脆弱性について理解し、危険と思われる行為はしないなど十分な注意を心がけることが必要です。
( 3 ) 脆弱性への対策
パソコンをインターネットに接続している以上、外部から攻撃を受けるリスクとは常に隣り合わせの状態にあります。あらゆるOSやソフトウェアに脆弱性は付きものであるため、企業としては攻撃者に悪用されないよう、以下のような対策をしっかり講じておかなければなりません。
- ソフトウェアを常にアップデートして最新の状態に保つ
- 研修などにより従業員の情報セキュリティ意識を高める
これらを基本として、社内で多くのパソコンを一括管理できる場合にはUTM(※3)の導入も効果的です。UTMとは包括的なセキュリティ機能を集約したツールのことです。この一台の導入により、攻撃者がネットワークの脆弱性をついてくるさまざまなケースに備えることができ、「イタチごっこ」ともいわれる攻防において効率的といえます。
※1 マルウェア:ウイルスを含む悪意あるソフトウェアの総称。Malicious(悪意のある)とsoftware(ソフトウェア)を組み合わせた造語。
※2 ゼロデイ攻撃:脆弱性の発見から間もない「空白期間」に行われる攻撃であることからのネーミング。
※3 UTM:Unified Threat Managementの略で、日本語では「統合脅威管理」。