なぜ、「ソフトウエアのアップデート」が必要なの?:セキュリティ、いまさら聞いてもいいですか?(2)(4/4 ページ)
社内の業務連絡などで、「ソフトウエアのアップデートを行うように」という通知を受けることがしばしばあるのではないでしょうか。普通のユーザーにとっては手間のようにも感じられる「ソフトウエアのアップデート」は、どうして必要なのでしょう。第2回では、ソフトウエアアップデートの必要性や、修正プログラムの適用時に留意すべき事項について解説します。
修正プログラムを適用できない場合の対応
今は決算の時期なので、不具合が発生すると困ります。修正プログラムの適用を少し延期したいのですが、何か良い方法はありますか?
インターネットからの遮断やファイアウオールの使用など、別の方法で攻撃を防ぐことができるのであれば、その対応を行うことも一つです。ただし、これは簡単ではありません。
修正プログラムが提供されていることは分かっているけれども、業務の都合上、どうしても今は適用できない、ということがあります。ソフトウエアのサポート期間が終了してしまって、次のソフトウエアへの移行作業中である、ということもあります。あるいは、ソフトウエアを開発した会社が突然倒産してしまい、修正プログラムが提供されなくなった、などという場合もあるでしょう。
このような場合、ある一定期間だけ修正プログラムの適用を遅らせるということも検討しなければなりません。しかし、この状態でインターネットに接続してしまうと、攻撃を受ける可能性があります。そこで、修正プログラムを適用しなくても、とりあえず攻撃を受けない状態を作る必要があります。
一番簡単なのは「インターネットに接続しない」ということです。インターネットに接続しない限り、たとえ脆弱性があっても外部から攻撃を受けることはありません。ただ、インターネットに接続しないと仕事にならない場合も多いでしょう。また、対象のソフトウエアがサーバー用のものであれば、インターネットに接続しないということは考えられないかもしれません。
この場合、「インターネットには接続するが、対象の脆弱性を狙った攻撃は受けない」状態にする必要があります。脆弱性の内容が公表されていれば、その内容を確認して、攻撃が成立しないようにコンピューターなどの設定を変更します。ファイアウオールなどで通信を拒否できるのであれば、そのような機器を利用するのも一つの方法です。
しかし、こういった対策をコンピューターに詳しくない方が実施するのは、難しいと言わざるを得ません。どうしても適用を延期したいのであれば、社内の情報システム担当者など、信頼できる専門家に相談するのが望ましいでしょう。
脆弱性が原因で攻撃を受けてしまった場合はどうすれば良いですか?
警察や弁護士、セキュリティ専門機関などに連絡しましょう。
攻撃を受けたことに気付いた、もしくは何らかの被害が発生した場合、まずは警察や弁護士に連絡することが最優先です。「攻撃を受けているかどうかよく分からない」という場合は、IPAの「情報セキュリティ安心相談窓口」などに相談するというのも一つの方法です。
また、全てを自分たちで解決しようとはせず、「セキュリティの専門家に調査を依頼する」ことも検討します。自分たちで解決しようとしていろいろと触ってしまううちに、調査に必要なログが消えてしまい、証拠がなくなってしまう可能性などもあるからです。
また、第1回でも触れましたが、「ゼロデイ攻撃」のように、ソフトウエアが修正されるよりも前に攻撃が行われるケースも増えています。修正プログラムの適用を欠かさないのと同時に、あらかじめ攻撃を受けることを想定し、対応のルールを決めておきましょう。避難訓練のように、攻撃を受けた状況を想定した対応の訓練を普段から行っておくことが重要です。
第2回のまとめ
- 「脆弱性」とは、ソフトウエアの「セキュリティ上の不具合」のことである。
- ソフトウエアの使用には問題がなくても、「脆弱性」を突かれて攻撃を受ける可能性がある。
- 脆弱性に対応するには、ソフトウエアの「修正プログラム」をインストールする。
- ソフトウエアの修正プログラムが提供されていないか、日頃から確認するようにする。
- 修正プログラムの適用にはリスクもあり、可能であれば適用前に検証を行うのが望ましい。検証が難しい場合、開発会社の情報や専門家の意見を参考にする。
- 修正プログラムの適用が難しい場合は、インターネットからの遮断など、別の手段を講じる必要がある。
- 修正プログラムをインストールしていても、攻撃を受ける可能性はある。攻撃を受けたときの対応手順を決めておき、日頃から訓練を行うようにする。
- なぜ、「脆弱性」はなくならないの?
- なぜ、ログを保存することが大切なの?
- なぜ、いろいろな「暗号技術」が必要なの?
- なぜ、GPSをオフにしても「位置情報」が取得できるの?――最低限押さえておくべき位置情報取得の仕組み
- なぜ、「私が興味を持ちそうな広告」が表示されるの?
- なぜ、「セキュリティポリシー」が必要なの?――自社のセキュリティポリシーを一度も読んだことがない方へ
- なぜ、パスワードが盗まれるの?――攻撃者がパスワードを盗む手法と対策を分かりやすく解説
- なぜ、「フィッシング詐欺」に気付けないの?
- なぜ、「鍵マークの確認」が必要なの?――「HTTPS通信」のメリットを理解しよう
- なぜ、「ソフトウエアのアップデート」が必要なの?
- なぜ、「標的型攻撃」で情報が漏れるの?――標的型メールのサンプルから攻撃の流れ、対策の考え方まで、もう一度分かりやすく解説します
増井敏克(ますい としかつ)(増井技術士事務所代表)
技術士(情報工学部門)、テクニカルエンジニア(ネットワーク、情報セキュリティ)、その他情報処理技術者試験にも多数合格。
ITエンジニアのための実務スキル評価サービス「CodeIQ」にて、情報セキュリティやアルゴリズムに関する問題を多数出題している。
また、ビジネス数学検定1級に合格し、公益財団法人日本数学検定協会認定トレーナーとして活動。「ビジネス」「数学」「IT」を組み合わせ、コンピュータを「正しく」「効率よく」使うためのスキルアップ支援や、各種ソフトウエアの開発を行っている。
近著に「おうちで学べるセキュリティのきほん」(翔泳社、2015)、「プログラマ脳を鍛える数学パズル シンプルで高速なコードが書けるようになる70問」(翔泳社、2015)がある。
Copyright © ITmedia, Inc. All Rights Reserved.