日商 Assist Biz

更新

企業を襲うサイバー脅威 「資産」が持っている弱点、「脆弱性(ぜいじゃくせい)」とは

前回は、情報セキュリティ上の守るべきものである「資産」について説明いたしました。今回は、情報セキュリティ上の守るべきもの「資産」が必ず持っている「脆弱性(ぜいじゃくせい)」について説明します。

資産には、パソコンや設備、ソフトウエア、記録媒体、人員などさまざまなものがあります。これらには必ず弱点があります。それが「脆弱性」(脆く弱い性質)です。ハードウエアでは「欠陥」、ソフトウエアでは「バグ」「セキュリティホール」などとも呼ばれます。これらは資産それぞれが持っている固有の性質であり、資産ごとに脆弱性は異なります。これらは基本的に変えることはできません。資産が持っている脆弱性を知り、適切な取り扱いと対処が必要になります。

そして、「脅威」の一つである意図的な攻撃は多くの場合、この「脆弱性」を突いてきます。例えば、使用しているソフトウエアに脆弱性が見つかり、その脆弱性を解消していなかった場合、これを狙ってさまざまな手段で攻撃者がウイルスへの感染、乗っ取りなどを試みてきます。

これらの脆弱性に対しては、OSやソフトウエアの更新(アップデート)が必要となります。たとえば、WINDOWSの場合には、Windows Updateの更新プログラム(「パッチ」とも呼ばれる)によって、それまでに発見された脆弱性に対処することができます。ただし、時間がたつと、また新たな脆弱性が発見されるため、常に更新情報を収集して、できる限り迅速にアップデートしていかなければなりません。

設定や運用上のミスなど管理が不適切で、情報セキュリティの機能が維持できなくなっている状態も「脆弱性」です。攻撃者は、このような脆弱性も狙っています。当然これらの脆弱性への対処も必要になってきます。これらは日常的な点検や監査などにより不備を見つけ、できる限り迅速に修正をしていきましょう。

このように「脆弱性」に「脅威」が付け込むことで、事故が発生し、被害や影響が及ぶのです。次回は「脆弱性」に付け込む「脅威」について説明します。

長谷川長一(はせがわ・ちょういち) ソフトバンク、日本ユニシスを経て、株式会社ラックに入社。情報セキュリティ業界の先駆者として知られる同社で現在は、主にセキュリティ教育業務を担当している。『CISSP-行政情報セキュリティ公式ガイドブック』(アスキー出版)や『情報セキュリティ監査公式ガイドブック』(日科技連出版社)など著書多数

次の記事

長谷川長一

前回は、情報セキュリティ上の守るべきもの「資産」が持っている「脆弱(ぜいじゃく)性」について説明いたしました。今回は「脆弱性」につけ込むことで損害や影響をもたらす「脅…

前の記事

長谷川長一

前回は、情報セキュリティ上のリスクの要素について説明いたしました。今回は、情報セキュリティ上の守るべきもの「資産」について説明していきます。情報セキュリティでは、ま…

関連記事

長谷川長一

今回は人的脅威の中の非意図的なもの、「ヒューマンエラー」について取りあげます。「ヒューマンエラー」には、「誤操作」「設定ミス」「紛失・置き忘れ」「盗難」などがありま…

長谷川長一

今回は人的脅威の中の“意図的脅威”である情報セキュリティー上の「ルール違反」について取りあげます。「ルール違反」は、前回取り上げた「内部不正」と比較すると、軽いものと…

長谷川長一

今月からは、企業内部の人的脅威について取り上げます。情報セキュリティーにおける人的脅威には、意図的なものと非意図的なものがあります。まず今回は人的脅威の中でも意図的…