検索
連載

セキュリティホールとは

セキュリティホールとは、ソフトウェアのバグ(意図しない動作や実装の不備)に起因する不具合の総称だ。セキュリティホールを単に「脆弱(ぜいじゃく)性」と言っても差し支えない。

Share
Tweet
LINE
Hatena

 セキュリティホールとは、ソフトウェアのバグ(意図しない動作や実装の不備)に起因する不具合の総称だ。セキュリティホールを単に「脆弱(ぜいじゃく)性」と言っても差し支えない。

 本用語辞典に掲載されている用語でいうと、「バッファオーバーフロー」「SQLインジェクション」などがセキュリティホールを利用した攻撃の例として挙げられる。詳細は各用語の説明に譲るが、どれもアプリケーションの実装不備を悪用した攻撃である。

 攻撃の目的として、DoSやシステムへの侵入、ユーザー情報やクレジットカード情報などの金銭的価値が高い情報の抜き取りを挙げることができる。

 個別のアプリケーション、システム基盤を構成するOS、場合によっては、ハードウェアにもセキュリティホールは存在し得る。

ソフトウェア開発者、システム管理者ができるセキュリティホール対策

 自分たちが開発したソフトウェアにセキュリティホールが見つかった場合は速やかに改修することと、「セキュアコーディング」を意識することが重要である。セキュアコーディングとは、脆弱性を意図せず作り込まないようにするためのプログラミング技術のことである。

 Webアプリケーションでのセキュリティホール対策として、Webアプリケーションファイアウォール(WAF)を導入することも対策の1つである。

 自分のソフトウェアが利用している外部のソフトウェアに脆弱性が見つかることも多い。その際は、そのソフトウェアのベンダーや開発者が脆弱性情報を公開する。この公開情報には、発見された脆弱性の概要と影響を受けるソフトウェアのバージョン、脆弱性を修正するセキュリティパッチの有無、修正できない場合に影響を緩和する方法が述べられている。

 またJVN(Japan Vulnerability Notes)では、脆弱性関連情報の届け出制度内でやりとりされた情報などを基に、同様の情報を公開している。

 アプリケーション開発者やシステム管理者は、以上の公開情報の内容を随時チェックし、必要に応じて速やかに対策することが求められる。

ユーザーができるセキュリティホール対策

 ユーザーは、可能な限り利用しているシステムやアプリケーションを最新の状態に保つことが重要である。

 システムを更新するためには、WindowsならWindows Updateの実行が有効である。システム更新が自動実行されるようにスケジュールされていることが望ましい。

 アプリケーションを更新するためには、ソフトウェアが備えているアップデートの有無を確認する機能を利用するとよい。最新版がある場合は速やかにアップデートすることが望ましい。

 スマートフォンユーザーならば、システム更新の有無がOSかベンダーのユーティリティーにより通知され、更新可能となっている。速やかに更新することが望ましい。またアプリストア(iOSならApp Store、AndroidならGoogle Playストア)でアプリの自動更新機能を利用できるため、有効にしておくことが望ましい。

関連用語

踏み台

■更新履歴

【2004/1/1】初版公開。

【2018/3/12】最新情報に合わせて内容を書き直しました(セキュリティ・キャンプ実施協議会 著)。


Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  2. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  3. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  4. OpenAIの生成AIを悪用していた脅威アクターとは? OpenAIが脅威レポートの最新版を公開
  5. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
  6. 約9割の経営層が「ランサムウェアは危ない」と認識、だが約4割は「問題解決は自分の役割ではない」と考えている Vade調査
  7. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  8. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  9. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
  10. MicrosoftがAD認証情報を盗むサイバー攻撃「Kerberoasting」を警告 検知/防御方法は?
ページトップに戻る