トレンド解説 2022/06/16

脆弱性とは？知っておきたいリスクと安全性確保のための対策

私たちにとってインターネットは欠かせないものとなり、公私を問わず日常的に利用しています。IT技術は生活を便利にしてくれましたが、その反面、私たちは情報を狙うサイバー攻撃と日々向かい合うことにもなってしまいました。サイバー攻撃は多様化・複雑化しており、攻撃者は、その足掛かりとして「脆弱性」を狙ってきています。

データ漏洩や不正アクセスといったサイバーセキュリティ上の脆弱性が、企業のビジネスデータがデジタル化されるとともに顕在化しました。

IT環境における変化としては、2010年代からのクラウドコンピューティングの利用拡大が挙げられます。情報の共有が容易になった一方で、これらの情報をサイバー攻撃から守ることがより困難になりました。特に2017年のWannaCryランサムウェアの大規模な感染は、その脅威を世界に示す出来事となりました。

働き方の変化も「脆弱性」への対応も忘れてはなりません。2020年のCOVID-19パンデミックは、テレワークやリモートワークの普及を促し、そのための企業のITインフラが新たな脆弱性を生み出す結果となりました。

そこでこの記事では、脆弱性の概要からリスク・脅威、原因とあわせて、企業に必要な脆弱性への対策を解説します。

脆弱性の読み方と意味

本論に入る前に、「脆弱性」の読み方と意味、英語での表現などを整理します。

「脆弱性」は「ぜいじゃくせい」と読み、この言葉は「脆い」（ぜい）と「弱い」（じゃく）という二つの言葉が合わさって作られます。「脆い」は、壊れやすいや、崩れやすいことを表し、「弱い」は、力が弱い、抵抗力が弱いなどです。熟語となった「脆弱性」は（システムやプログラムなどが）破壊されやすい、または攻撃に対して抵抗力が弱いという状態を表しています。

「脆弱性」は英語では「Vulnerability」になります。片仮名にすると「ヴァルナラビリティ」で、「ヴァルナビリティ」や「バルナビリティ」と言われることもあります。「Vulnerability」の語源はラテン語の "vulnerare"（傷つける）からきており、これが英単語の "Vulnerable"（傷つきやすい）となり、その名詞形が "Vulnerability" です。

脆弱性とは

ITセキュリティの分野で話題になる「脆弱性」は、主に「技術的脆弱性」に分類されるものです。

技術的脆弱性

コンピュータのOSやアプリケーションソフトウェアに内在するセキュリティの弱点や欠陥を指します。具体的には、ソフトウェアのコード内に存在する予期しない不具合や、初期の設計段階で見落とされたミスや考慮不足に起因するものです。

OSやアプリケーションソフトウェアは、非常に高度かつ複雑な作りになっており、多数の機能・コンポーネントを持ち、更にそれらが複雑に連携しています、このため、どうしてもバグやミスが生じる確率も高まってしまいます。また、人の手によって開発される限り、ゼロリスクや完全性を保証することは非常に困難です。このため、私たちが日常的に触れている多くのデバイスやソフトウェアには、まだ発見されていない脆弱性が隠れていることも少なくありません。

これらの脆弱性はいずれ発見され修正されるかもしれません。開発者やメーカーは常に脆弱性の情報を収集し、それに応じたセキュリティアップデートやパッチをリリースしています。多くの場合、これらのアップデートは新しい機能の追加だけでなく、既知の脆弱性の修正も目的となっています。しかし、既知の脆弱性が修正された後も、新しいものが発見されることは珍しくなく、常に進化するセキュリティの環境に対応するための継続的な対応が求められています。

また、脆弱性は、単に技術的なものにとどまりません。物理的要因や人間の性質に起因するものも多くあります。それらを物理的脆弱性、人的脆弱性と呼びます。

物理的脆弱性

物理的脆弱性は、コンピュータやネットワーク機器などのハードウェア関連が中心です。このカテゴリには、設備の老朽化、製造上の欠陥、機器の故障や損傷、天災によるダメージ（例: 地震、洪水、火災など）も含みます。また、執務エリアやデータセンターへの不正な侵入による情報盗難や機器の破壊も大きな脆弱性となりえます。これらのリスクを軽減するためには、冗長性の確保、バックアップ、物理的なセキュリティ強化（例: 防犯カメラの設置、セキュリティゲートや警備員の配置など）が求められます。

人的脆弱性

人的脆弱性は、人間の行動や判断ミスに起因する脆弱性です。誤った操作、不注意、無知、あるいは意図的な悪意や詐欺行為が該当します。例えば、フィッシング詐欺や、安易なパスワードの設定・共有、不適切な情報の公開やリークなどが挙げられます。人的脆弱性を防ぐためには、継続的な教育、トレーニング、情報セキュリティの意識向上活動など、人々の意識や行動を変える取り組みが必要です。

脆弱性によるリスクや脅威

脆弱性はセキュリティ的な弱点であり、しばしばサイバー攻撃を仕掛ける際の足掛かりとして悪用されます。脆弱性を放置すると、どのような被害を受けるのか、想定事例とともに確認します。

不正アクセス

A社は製造業を営んでいます。ある日、社内システムのソフトウェア上の不具合を突かれて不正アクセスを受け、製造ラインの自動制御システムが停止しました。その結果、一日の生産ラインが完全に停止し、数千万円以上の損害を被りました。

マルウェア感染

B社は小規模なサービス業を行っています。ある日、社員の一人がメールの添付ファイルを開いたところ、それがマルウェアで、パソコンに感染してしまいました。社員が使用していたパソコンには、営業情報や顧客情報が保存されており、その全てがマルウェアにより暗号化されてしまいました。マルウェアの制作者からは、データの復旧を求めて高額な身代金が要求され、業務が停滞してしまいました。

データの改ざん

C社は大手のIT企業です。ある日、OSの脆弱性を利用され、社内の重要なデータが第三者により改ざんされました。これにより、顧客からの信頼を大きく失い、契約のキャンセルや訴訟に繋がる多大な経済的損害を被りました。

データの盗聴

D社は金融機関です。顧客の個人情報や取引情報が社内システムの脆弱性を利用され、第三者に盗聴されました。情報が漏洩したことで、D社の信用が失墜し、大量の顧客が他の金融機関に移行。経済的な損失だけでなく、再建には時間と労力が必要となりました。

次なるサイバー攻撃の踏み台

E社は通信事業を展開しています。ある日、E社のサーバが脆弱性を突かれ、サイバー攻撃の踏み台とされました。E社のサーバから取引先のF社へ攻撃が仕掛けられ、F社のシステムがダウン。E社は責任問題を追及されると同時に、取引を停止され、その後のビジネス展開にも甚大な影響を受けました。

このように、脆弱性を利用した不正アクセスやマルウェア感染で業務を継続できなくなる可能性があり、特に影響が大きなマルウェア感染の例としては、ランサムウェアへの感染が有名です。ランサムウェアは企業が持つデータを不正に暗号化して利用できなくし、暗号化を解除するために身代金を要求するマルウェアです。業務で必要なデータを利用できなくなるため、こちらも企業活動に大きな影響を及ぼします。

また、パソコンが乗っ取られて攻撃の踏み台として利用され、取引先やサービス利用者など第三者への攻撃に加担してしまうケースもあります。

各事例を通じて明らかなように、脆弱性は経済的損害だけでなく、企業の信用や、その後のビジネス展開にも大きな影響を及ぼすリスクを孕んでいます。脆弱性への対策は、企業にとって最重要の課題と言えるでしょう。

また、二次被害として企業活動を継続できなくなるほどの被害となる可能性があります。攻撃によって顧客データなどが流出すれば企業の信用はなくなり、その後の企業活動に大きな影響を及ぼします。

脆弱性を放置することでさまざまなリスク・脅威がもたらされるため、対策が必要です。

なぜ発生するのか？脆弱性の原因

脆弱性が発生する原因としては、OSやソフトウェアの開発時に想定していなかった利用方法や、新たな技術の登場が挙げられます。

OSやソフトウェアの設計・構築段階では、利用者がどのような操作を行うかを想定して開発が行われます。これらの想定は、一般的な利用シナリオに基づいており、全ての可能性を網羅しているわけではありません。利用者が想定外の操作を行ったり、予想しなかった状況でソフトウェアを使用したりした場合、それが脆弱性を引き起こす可能性があります。

また、技術の進化は絶えず進行しています。新たな技術が登場することにより、それまで安全であったと思われていたシステムが、突如脅威にさらされることもあります。新しい攻撃手法や新種のマルウェアが開発されると、それまで安全だと考えられていたシステムにも影響がでてくる可能性が生まれます。

また、脆弱性の存在は、人的リソースや経済的リソースの制約にも関連しています。システムの設計・構築には専門知識を持つ人材が必要なので、その人材が不足している場合、安全性の確保が十分に行われない可能性があります。そもそも、システムのセキュリティを強化するための予算が限られている場合、それに応じて全ての脆弱性に対する対策をとることは困難となるでしょう。

未来を完全に予測し、全ての脆弱性に先んじて対策を講じることは現実的には不可能です。その結果として、（必然的に）脆弱性は絶えず発生し続けます。そして現実的な対策としてOSやソフトウェアが定期的にアップデートを行う形で継続されていくことになります。

企業に必要な脆弱性への対策

企業にとって、不正アクセス、マルウェア感染、データの改ざん、盗聴、次なるサイバー攻撃の踏み台にされるといった脅威に対する具体的な対策は重要です。

脆弱性ごとの対策

不正アクセスへの対策としては、二要素認証や電子証明書の導入があります。二要素認証では、パスワードの他に、電話やメールへのコードの送信など、二つ目の認証手段を設けることで、アカウントのなりすましを防ぐことができます。また、電子証明書を利用すれば、「認証情報の偽装」が極めて困難になります。

マルウェア感染対策としては、アンチウイルスソフトの導入と更新が挙げられます。これにより、新種のマルウェアへの感染リスクを低減することができます。また、社員教育を行い、フィッシング詐欺などを通じた感染を防ぐことも重要です。

データの改ざんに対する対策では、データの整合性を確認するためのハッシュ関数の利用や、ブロックチェーン技術の利用が考えられます。データが改ざんされた場合にそれを迅速に検出できる手段にもなります。

データの盗聴対策としては、データを暗号化します。セキュアな通信プロトコル（HTTPSなど）の利用が有効です。通信を傍受されても、データの内容を解読することが難しくなります。

最後に、次なるサイバー攻撃の踏み台にされることを防ぐための対策としては、企業ネットワーク全体に対する防御策の強化になります。ファイアウォールの設定の見直し、侵入検知・防止システム（IDS/IPS）の導入、WAF（Web Application Firewall）の導入などが考えられます。

継続した取組みが重要

脆弱性は完全に排除することは難しいものの、継続して対策を講じることでリスクの軽減は可能です。日頃からの情報の収集、セキュリティパッチの適用、最新技術のキャッチアップが重要です。

常に脆弱性が発見され悪用される可能性があるため、普段からの情報収集が重要です。特に、自社が利用するOSやソフトウェアに関する最新の脆弱性情報を把握し、必要な対策を速やかに取ることが求められます。

セキュリティパッチの適用は脆弱性に対する最も効果的な対策のひとつです。OSやソフトウェアの開発者から提供されるセキュリティパッチは、脆弱性を修正し、その悪用を防ぐものです。これらのパッチを迅速かつ適切に適用することで、既知の脆弱性によるリスクを大幅に軽減できます。

最新技術のキャッチアップは、新たな脅威への対策を強化し、企業のセキュリティ環境を改善するために重要です。二要素認証、暗号化技術、ブロックチェーン、侵入検知・防止システム（IDS/IPS）、Web Application Firewall（WAF）などの最新技術を導入することで、攻撃者の進化に対抗し、企業の情報資産を守ることも可能になります。

これらの取り組みを通じて、日々刻々と変化するセキュリティ環境に対応し、自社の情報資産を保護することができます。脆弱性は放置することなく、最新の対策を取り入れ、セキュリティ製品を導入し、社内全体でのセキュリティ意識の向上を図ることで、企業とその情報資産を守ることができます。