脅威と脆弱性

脅威と脆弱性

「脅威」(きょうい)は一般的な言葉として使われることがありますが、情報セキュリティの分野では意味が決まっています。
情報システムやそこで扱っているデータが、何らかの原因によって損害やマイナスの影響を受けることがあります。このマイナスの影響を発生させる原因の一つのことを「脅威」と呼びます。
脅威はいくつかに分類できますが、代表的なものが人間が原因となる脅威で、これにはシステムの操作ミス、不正アクセス、盗難、紛失等があります。また、環境的な脅威として、地震、台風、落雷、火災などがあります。

「脆弱性」(ぜいじゃくせい)は、情報システムのプログラムの不具合や運用上のミスが原因で情報セキュリティの安全性が損なわれている状態のことです。
その中で、プログラムのバグやハードウェアの設計ミスによって生じる脆弱性はセキュリティホールと呼ばれています。つまり、情報セキュリティ上に「穴」がある状態ということです。

脅威には色々なものがあるので、「脅威にはこう対処すればよい」という「唯一の正解」が決まっているわけではありません。どんな脅威が生じているのかによって、対処の方法を考え直すという発想を持つことも大切です。

現実世界でみられる脅威と脆弱性

この脆弱性を狙った不正アクセスが行われると「脅威」になります。
これを、家の戸締まりに例えて考えてみましょう。
「最近、となり町に空き巣が流行っている。何軒も空き巣に入られたそうだ」という情報が流れてきました。そう言われると、見たこともない人物が、キョロキョロと家を覗き込んでいたことがありました。これが空き巣という「脅威」になります。
空き巣の対策としては、出かけるときドアに鍵をかけるのが有効なのは言うまでもありません。ところが、ドアに鍵がついているのにちょっと買い物に行くだけだからと鍵をかけずに外出したり、あるいはドアの鍵が古くて実はちゃんと閉まっていなかったとします。これらが「脆弱性」です。
鍵の閉め忘れを狙った空き巣に家に侵入された、ということを「インシデント」と呼びます。インシデントは、情報セキュリティ上で起こった事件のことです。

さて、現実を見てみましょう。
私たちが利用するインターネットのサービスはどんどん複雑化しており、サービスを提供するプログラムやシステムもどんどん巨大化しています。そのため、開発したときには気付かなかった原因や想定していなかった環境の変化によって、サービスの脆弱性は次々と発見されているのです。脆弱性をそのまま放置していると、そこを狙って攻撃されるといった脅威になるのです。
そこで、情報システムに脆弱性があることが分かったら、なるべく早く世界中に知らせて、脆弱性が悪用される前に対策をとるしくみの整備が進められています。
それをご紹介しましょう。

脅威に出会ったときのダメージ・コントロール

脅威にあらかじめ対処して、損害の発生を予防できればよいですが、残念ながら、そうできないこともあるかもしれません。そのような場合にも、あわてずに行動することが大切です。損害をゼロにすることができなくても、できるかぎり損害を少なくするためには、どんなことができるのか。自分ができる範囲のなかで、どうすれば損害が少なくなりそうか。こういったことを考えて、「ダメージ・コントロール」をするという発想を持つことも有効です。その際には、「価値の高い情報は何か」「守りやすい情報は何か」を考え、すばやく判断していくことが求められます。

サイバーセキュリティ注意喚起サービス

サイバーセキュリティ注意喚起サービスは、インターネットのユーザーが影響を受ける可能性が高いセキュリティ対策情報を、緊急度を付けて無料で公開しているものです。
https://www.ipa.go.jp/security/announce/alert.html

ここで「緊急」となっている情報は、実際に脆弱性を悪用した攻撃が始まっているものなので、至急対策することが必要です(多くの場合、対策は緊急と判定されたソフトを最新にアップデートすることになります)。

https://www.ipa.go.jp/security/announce/alert.html から引用

それでは、実際のサイバーセキュリティ注意喚起サービスの情報を表示してみましょう。

JVN iPedia 脆弱性対策情報データベース

もう一つが、世界中の脆弱性の情報を収集して、その対策情報をデータベースにしたものです。無料で利用できます。
https://jvndb.jvn.jp/

2021年1月の情報を検索してみました。

脆弱性情報がずらりと並んでいます。
これだけだと意味が分からないかもしれませんが、大きく分類すると
・特定のハードウェアの脆弱性
・特定のソフトウェアの脆弱性
になります。
いくつかの項目に「コマンドインジェクション」という言葉があります。
コマンドインジェクションとは、例えばユーザーのID(アイディー)を入力する欄に、IDの代わりにプログラムの命令語を書き込んでシステムを誤動作させるサイバー攻撃の方法です。
また家の戸締まりに例えると、ツマミ式の鍵がかかっているドアの下部に新聞受けがあるとします。コマンドインジェクションは、下の新聞受けから針金を通して、無理やりツマミを回して鍵を開けてしまうような攻撃です。でも、この「新聞受けから異物を入れて鍵を開けられる」という脆弱性があることが分かれば、新聞受けにフタをつけるといった対策が可能になります。
脆弱性対策情報データベースは、どのような脆弱性が発見されたかを公開しているのです。

適切に脆弱性に対応することは、情報セキュリティ上とても重要なことです。
難しいからといって放置するのでなく、世の中で何が起こっているかを理解するようにしましょう。

前にもどる