検索
連載

セキュリティホールとは

セキュリティホールとは、ソフトウェアのバグ(意図しない動作や実装の不備)に起因する不具合の総称だ。セキュリティホールを単に「脆弱(ぜいじゃく)性」と言っても差し支えない。

Share
Tweet
LINE
Hatena

 セキュリティホールとは、ソフトウェアのバグ(意図しない動作や実装の不備)に起因する不具合の総称だ。セキュリティホールを単に「脆弱(ぜいじゃく)性」と言っても差し支えない。

 本用語辞典に掲載されている用語でいうと、「バッファオーバーフロー」「SQLインジェクション」などがセキュリティホールを利用した攻撃の例として挙げられる。詳細は各用語の説明に譲るが、どれもアプリケーションの実装不備を悪用した攻撃である。

 攻撃の目的として、DoSやシステムへの侵入、ユーザー情報やクレジットカード情報などの金銭的価値が高い情報の抜き取りを挙げることができる。

 個別のアプリケーション、システム基盤を構成するOS、場合によっては、ハードウェアにもセキュリティホールは存在し得る。

ソフトウェア開発者、システム管理者ができるセキュリティホール対策

 自分たちが開発したソフトウェアにセキュリティホールが見つかった場合は速やかに改修することと、「セキュアコーディング」を意識することが重要である。セキュアコーディングとは、脆弱性を意図せず作り込まないようにするためのプログラミング技術のことである。

 Webアプリケーションでのセキュリティホール対策として、Webアプリケーションファイアウォール(WAF)を導入することも対策の1つである。

 自分のソフトウェアが利用している外部のソフトウェアに脆弱性が見つかることも多い。その際は、そのソフトウェアのベンダーや開発者が脆弱性情報を公開する。この公開情報には、発見された脆弱性の概要と影響を受けるソフトウェアのバージョン、脆弱性を修正するセキュリティパッチの有無、修正できない場合に影響を緩和する方法が述べられている。

 またJVN(Japan Vulnerability Notes)では、脆弱性関連情報の届け出制度内でやりとりされた情報などを基に、同様の情報を公開している。

 アプリケーション開発者やシステム管理者は、以上の公開情報の内容を随時チェックし、必要に応じて速やかに対策することが求められる。

ユーザーができるセキュリティホール対策

 ユーザーは、可能な限り利用しているシステムやアプリケーションを最新の状態に保つことが重要である。

 システムを更新するためには、WindowsならWindows Updateの実行が有効である。システム更新が自動実行されるようにスケジュールされていることが望ましい。

 アプリケーションを更新するためには、ソフトウェアが備えているアップデートの有無を確認する機能を利用するとよい。最新版がある場合は速やかにアップデートすることが望ましい。

 スマートフォンユーザーならば、システム更新の有無がOSかベンダーのユーティリティーにより通知され、更新可能となっている。速やかに更新することが望ましい。またアプリストア(iOSならApp Store、AndroidならGoogle Playストア)でアプリの自動更新機能を利用できるため、有効にしておくことが望ましい。

関連用語

踏み台

■更新履歴

【2004/1/1】初版公開。

【2018/3/12】最新情報に合わせて内容を書き直しました(セキュリティ・キャンプ実施協議会 著)。


Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 3割程度のSaaS事業者が標準的なセキュリティ対策をしていない アシュアードがSaaS事業者を調査
  2. 中小企業の20%の経営層は「自社はサイバー攻撃に遭わない」と信じている バラクーダネットワークス調査
  3. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  4. 「生成AIのサイバー攻撃への悪用」は増加する? 徳丸浩氏が予測する2025年のセキュリティ
  5. AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援?
  6. ChatGPTやClaudeのAPIアクセスをかたってマルウェアを配布するPython用パッケージ確認 Kasperskyが注意喚起
  7. 商用国家安全保障アルゴリズム(CNSA)の期限となる2030年までに暗号化/キー管理サービス市場が60億ドルに達するとABI Researchが予測 急成長の要因とは?
  8. 高度なAIでAIをテスト OpenAIが実践するAIモデルのレッドチーム演習とは
  9. 従業員は「最新のサイバー脅威との戦い」を強いられている セキュリティ教育に不満を持つ理由の1位は?
  10. 約9割の経営層が「ランサムウェアは危ない」と認識、だが約4割は「問題解決は自分の役割ではない」と考えている Vade調査
ページトップに戻る