見出し画像

セキュリティーホールを考える[293]

たかだに

 [目次]

1.まずはじめに

2.セキュリティーホールとは?

3.なぜセキュリティーホールができるのか?

4.セキュリティーホールを防ぐには

5.最後に

1.まずはじめに

 みなさんに質問です。"セキュリティーホール" という言葉を知っていますか? 僕は、はじめてその言葉を聞いたときインターネット関係のことかなと思いましたが、結局のところよくわかりませんでした。案外、僕みたいな人は多いんじゃないんでしょうか?
 会話の途中でいきなり「あーセキュリティーホールって~だよね。」とか、ちょっと猛者っぽく変なこと言ってみたくないですか?もしそうなら、この記事でも読んでちょっと猛者になってみましょうよ。

2.セキュリティーホールとは?

 "セキュリティーホール"とは、ソフトウェアのバグ、不具合や設計上のミスが原因で情報セキュリティ上の欠陥のことを指します。現在では、脆弱性という言葉でも表されます。つまり簡単に言ってしまうと、セキュリティホールとはシステムの安全面においての穴ということです。セキュリティーホールには、ソフトウェアが突然再起動してしまったり、動作が停止したり、サイバー攻撃者に悪用されたり、とさまざまな種類があります。

 セキュリティーホールを悪用されてしまうと、使用者が気づかないうちにウイルスに感染させられたり、動作を極端に遅くされる可能性があります。また、最悪の場合、サイバー攻撃者に乗っ取られてしまうこともあります。こうなってしまうと、さらなるサイバー攻撃の踏み台にされる可能性もあり、被害者のはずのユーザーが加害者になってしまう可能性もあるのです。

3.なぜセキュリティーホールができるのか?

セキュリティホールができるのは理由がいくつかあります。

3-1ソフトウェアは人間の手によって作られている

 ソフトウェアは、複数のプログラムによって構成され、特に基本ソフトと呼ばれるOS(コンピュータの、入出力や同時並行処理などを管理するプログラム)では、多くのプログラムが動作し、複雑に連携しています。実は、ソフトウェアを人間の頭脳だけで作るのは大規模かつとても複雑です。しかし、これらはシステムエンジニアやプログラマーの手によって作られています。そんな中でいくら有能なプログラマーいたとしても、セキュリティーホールが存在しないソフトウェアをつくるのは極めて難しいのです。

3-2想定外の入力対する不備


 出来上がったソフトウェアは外部の入力を想定してテストが行われます。しかし、ある程度の規模あるソフトウェアとなると十分な想定をするのに時間がかかり、理想的なテストができずセキュリティーホールができやすいのです。
 また、セキュリティーホールを悪用するサイバー攻撃者がシステム運用中に、新しい攻撃方法を編み出し想定外の入力をされることでセキュリティーホールが発覚することもあります。

4.セキュリティーホールを防ぐには

これまでに述べてきたようにセキュリティーホールを悪用されると、自分だけでなく次の攻撃の踏み台にもなるという危険性があります。では、どのようにすれば防ぐことができるのでしょうか。


4-1ソフトウェアのバージョンを把握する

 まずは、自分が使用しているパソコンにインストールされているソフトウェアのバージョンを確認しましょう。そして、ソフトウェアの最新のバージョンが配布されたらすぐにアップデートしましょう。アップデートせずにいると、サイバー攻撃をくらう可能性が高くなってしまいます。
 また、Microsoft Office(ビジネス用アプリ)やWindows(パソコン用OS)ではWindows Updateという機能を利用することでソフトウェアを最新のバージョンに保つことができ、セキュリティーホールを防ぐことができます。

4-2セキュリティーホールの情報を確認する

 実は、セキュリティーホールが明らかになると、その情報ついて知ることができるサイトがあります。
1. JPCERT/CC

2. JVN (Japan Vulnerability Notes)

3. JVN iPedia

これらのサイトはセキュリティーホールに関することが数多く掲載されています。自分が使用しているソフトウェアに関して少しでも不安な点があるなら一度サイトいってみましょう。



5.最後に

 セキュリティーホールを狙うサイバー攻撃者は、常に攻撃できる対象を探しています。いつのまにか攻撃をくらい、悪用されているかもしれません。今のところセキュリティーホールのないソフトウェアを作るのは、不可能に近いでしょう。このような中ではやはり、悪用される危険を意識し、そして自ら適切な情報を得て、セキュリティ対策を施すのを心がけるのが重要だと言えるでしょう。

参考文献

https://www.atmarkit.co.jp/fsecurity/column/sec_hole01/sec01.html

https://cybersecurity-jp.com/security-measures/25894

https://blogs.mcafee.jp/vulnerability-type-and-prevention