セキュリティホールとは

[セキュリティ・キャンプ実施協議会，＠IT]

　セキュリティホールとは、ソフトウェアのバグ（意図しない動作や実装の不備）に起因する不具合の総称だ。セキュリティホールを単に「脆弱（ぜいじゃく）性」と言っても差し支えない。

　本用語辞典に掲載されている用語でいうと、「バッファオーバーフロー」「SQLインジェクション」などがセキュリティホールを利用した攻撃の例として挙げられる。詳細は各用語の説明に譲るが、どれもアプリケーションの実装不備を悪用した攻撃である。

　攻撃の目的として、DoSやシステムへの侵入、ユーザー情報やクレジットカード情報などの金銭的価値が高い情報の抜き取りを挙げることができる。

　個別のアプリケーション、システム基盤を構成するOS、場合によっては、ハードウェアにもセキュリティホールは存在し得る。

ソフトウェア開発者、システム管理者ができるセキュリティホール対策

　自分たちが開発したソフトウェアにセキュリティホールが見つかった場合は速やかに改修することと、「セキュアコーディング」を意識することが重要である。セキュアコーディングとは、脆弱性を意図せず作り込まないようにするためのプログラミング技術のことである。

　Webアプリケーションでのセキュリティホール対策として、Webアプリケーションファイアウォール（WAF）を導入することも対策の1つである。

　自分のソフトウェアが利用している外部のソフトウェアに脆弱性が見つかることも多い。その際は、そのソフトウェアのベンダーや開発者が脆弱性情報を公開する。この公開情報には、発見された脆弱性の概要と影響を受けるソフトウェアのバージョン、脆弱性を修正するセキュリティパッチの有無、修正できない場合に影響を緩和する方法が述べられている。

　またJVN（Japan Vulnerability Notes）では、脆弱性関連情報の届け出制度内でやりとりされた情報などを基に、同様の情報を公開している。

　アプリケーション開発者やシステム管理者は、以上の公開情報の内容を随時チェックし、必要に応じて速やかに対策することが求められる。

ユーザーができるセキュリティホール対策

　ユーザーは、可能な限り利用しているシステムやアプリケーションを最新の状態に保つことが重要である。

　システムを更新するためには、WindowsならWindows Updateの実行が有効である。システム更新が自動実行されるようにスケジュールされていることが望ましい。

　アプリケーションを更新するためには、ソフトウェアが備えているアップデートの有無を確認する機能を利用するとよい。最新版がある場合は速やかにアップデートすることが望ましい。

　スマートフォンユーザーならば、システム更新の有無がOSかベンダーのユーティリティーにより通知され、更新可能となっている。速やかに更新することが望ましい。またアプリストア（iOSならApp Store、AndroidならGoogle Playストア）でアプリの自動更新機能を利用できるため、有効にしておくことが望ましい。

関連用語

■踏み台

■更新履歴

【2004/1/1】初版公開。

【2018/3/12】最新情報に合わせて内容を書き直しました（セキュリティ・キャンプ実施協議会 著）。