2020 年 11 月 30 日
脆弱性とは? ~ 脆弱性とそこに潜むリスク、その対策のやさしい解説
脆弱性(ぜいじゃくせい)とは
脆弱性とは、スマホやパソコン、サーバーなどの OS やソフトウェア ( アプリ ) に存在する情報セキュリティ上の欠陥のことを言います。OS やソフトウェアの動作には問題がなかったとしても、プログラムの不具合や設計上のミスが原因となってセキュリティ上の不具合ができてしまうことがあり、このセキュリティ上の不具合を脆弱性と呼びます。脆弱性は、セキュリティホールとも呼ばれます。
この脆弱性に関して、米国政府の支援を受けた非営利団体の MITRE 社が脆弱性情報データベースを提供しています。この脆弱性情報データベースのことを CVE (Common Vulnerabilities and Exposures) と言います。また、脆弱性には CVE-ID とよばれる固有の番号が付与されます。
近年、新たな脆弱性が次々と発見されており、公開された CVE の数は年々増加傾向にあります。
( 出展 : NATIONAL VULNERABILITY DATABASE )
脆弱性の危険性とその対策
脆弱性が残された状態でコンピューターを利用していると、不正アクセスに利用されたり、ウイルスに感染したりする危険性があります。
脆弱性を塞ぐには、OS やソフトウェアのアップデートが必要となります。多くの場合、脆弱性が発見されると、ソフトウェアを開発したメーカーが更新プログラムを作成して提供します。ただし、一度脆弱性を塞いでも、また新たな脆弱性が発見される可能性があるため、常に脆弱性情報を収集し、対策が必要な脆弱性に対しては、できる限り迅速に OS やソフトウェアのアップデートを行わなければなりません。
また、近年はゼロデイ攻撃と呼ばれる脅威が増加しています。ゼロデイ攻撃とは、OS やソフトウェアに対する脆弱性が発見されたときに、メーカーが更新プログラムを配布するまでの間に、その脆弱性を利用して行う攻撃です。脆弱性が公開されてから、メーカーが対応策を検討して更新プログラムを開発することも多いため、完全な対策は困難です。そのため、修正プログラムを適用するまでの間は、脆弱性の内容を確認したうえで、リスクを最小限に抑える対策も必要となります。
脆弱性の対策はファイアウォールだけでは不十分 ( ゼロトラストセキュリティ )
今まではファイアウォールや IPS/IDS などでネットワークの境界を監視するという脆弱性に対するセキュリティ対策が主流でしたが、近年は境界を監視するセキュリティ対策では不十分であるとされ、「ゼロトラスト」という考え方が注目されるようになっています。ゼロトラストとは、ネットワークの内側と外側を区別せず、全てを等しく疑って監視するという概念です。
境界を監視するセキュリティ対策の場合、一度境界内に入ったユーザーを信用するため、内部犯行や不正アクセスによって侵入した攻撃者の行動を制限できないという問題があります。特に、近年は電子メールを利用した高度な標的型攻撃などで内部に侵入されて、そこから既知の脆弱性情報を悪用されて情報が漏洩する事例も発生しています。そのため、境界の内側にあるシステムに対しても、日々の脆弱性管理と迅速なアップデートを行うことがセキュリティ対策として重要となってきています。
サイバートラストの脆弱性対策支援
サイバートラストでは、ITシステムのスキャン、脆弱性の可視化、対応を自動化する脆弱性管理ツール「MIRACLE Vul Hammer」や、広く市場で活用されている Linux OS「CentOS」を安全に使っていただけるよう、脆弱性に対する情報提供や修正パッケージの提供を含む、CentOS サポートサービスを提供しています。
MIRACLE Vul Hammer について
CentOS をはじめとする Linux や Windows などのソフトウェアと、ネットワークスイッチなどのデバイスの脆弱性を高精度でスキャンし、最新の CVE データベースと照合して各サーバーのパッチ適用状況と事前に設定したポリシーへの違反を一元管理可能にする脆弱性管理ツールです。「MIRACLE Vul Hammer」の活用により脆弱性の有無を自動的に可視化・通知可能にし、企業のソフトウェア管理業務の大幅な省力化と、脆弱性の早期発見や迅速な対応を通じてサイバー攻撃のリスク低減を支援します。
MIRACLE Vul Hammer についてはこちらLinux 延長サポート for CentOS について
サイバートラストの「延長サポート for CentOS」は、CentOS 6 のメンテナンスサポート終了後に新バージョンへの移行が困難なお客様に対して、現在お使いの CentOS 6 の環境を約 3 年半延長して使えるよう、重大な脆弱性に対する修正パッケージと CentOS 6 の日本語によるテクニカルサポートを継続して提供するサービスです。本サービスのご利用により、メンテナンスサポート終了後も、引き続き CentOS 6 を安全にご利用いただくことができます。
延長サポート for CentOS についてはこちらLinux セキュリティサポート / エンタープライズサポート for CentOS
サイバートラストでは、安心して CentOS をご利用いただけるよう、ご利用中の CentOS に対して、危険度の高い脆弱性情報とその対処方法についてのメール配信サービスを含む、CentOS のサポートサービスを提供しています。
本記事に関連するリンク
【無料動画視聴】どうする!? CentOS の移行先 ~ MIRACLE LINUX 編 各種 OS と移行ツールの比較 ~
CentOS Linux 8 の移行先候補である各種 OS と移行ツールの比較を解説します。また、「MIRACLE LINUX 8.4」についての紹介・解説・移行時の注意点などについてご紹介いたします。
アジェンダ
CentOS の最新状況
CentOS Project の最新動向
移行先候補について
MIRACLE LINUX 8.4 の紹介
各ディストリビューションへの移行スクリプト比較
サイバートラストのソリューション紹介
- CentOS 延長サポート
【セミナーの内容をちょい見せ!】