脆弱性の種類とリスク|3つの共通指標や企業が行うべき対策などを解説
脆弱性とは、インターネットやソフトウェアなどに潜む、情報セキュリティ上の欠陥です。脆弱性は放置し続けると、企業にとって損失につながるリスクがあります。しかし、脆弱性にはさまざまな種類があるため、企業は脆弱性について理解し対策することが必要です。本記事では、脆弱性について主な種類とリスク、対策を解説します。ぜひ参考にしてください。
目次
自社のセキュリティ環境構築にお悩みなら、KDDI まとめてオフィスにご相談ください
IT運用における脆弱性とは
IT運用における脆弱性とは、ソフトウェア上のプログラムの不具合や欠陥で、情報セキュリティ上の弱点のことです。別名「セキュリティホール」とも呼ばれます。インターネットに接続して使用するソフトウェアは、ソフトウェアに脆弱性が見つかった際、インターネット上で修復が可能です。しかし同時に、インターネット経由で脆弱性を攻撃される危険性もあります。
脆弱性を悪用されるとウイルス感染や乗っ取り、情報漏えいなどの被害を受けてしまい、企業利益や顧客からの信頼損失につながります。IT運用における脆弱性は、設計ミスや実装ミス、テスト不足などが原因で生まれるため、定期的な対策が重要です。
脆弱性とバグの違い
バグとは、ソフトウェアやプログラムなどの不具合や欠陥で、ファイル破損や動作不良などの原因の1つです。一方で脆弱性とは、開発者やユーザーが意図しない動作をする欠陥を指します。基本的にバグは脆弱性とは異なり、外部からの攻撃に対する弱点にはなりません。
ただし、バグが原因で脆弱性を生む場合はあります。バグが生じたことでソフトウェアが正しく動作せず、外部から攻撃の原因となる弱点が生じる可能性があるからです。
脆弱性を放置することのリスク
IT運営における脆弱性の放置は、企業にとって大きな損失につながりかねません。脆弱性を放置すると、マルウェア感染や不正侵入、情報漏洩などの被害を受けるおそれがあるからです。
セキュリティリスクのなかで特に近年警戒されているのが、マルウェア感染です。マルウェアに感染すると、データの改ざんや破壊、情報の外部流出などの原因になり得ます。また、ウイルスに感染すると、自社がウイルス拡大の感染源になる可能性があり、危険です。
自社が加害者と被害者の両方の立場になると、自社の損害に加え、被害に遭った他社への損害を負担しなければなりません。金銭面の損害だけなく、企業の信頼低下や業務への支障、機会損失など、さまざまな悪影響があります。
脆弱性に関する3つの共通指標
IT運営にはたくさんの脆弱性の種類があります。なかでも脆弱性を共通認識として分類・評価するための指標は「CWE(共通脆弱性タイプ)」「CVE(共通脆弱性識別子)」「CVSS(共通脆弱性評価システム)」の3つです。以下で詳細を解説します。
1.CWE(共通脆弱性タイプ)
CWE(共通脆弱性タイプ)は、Common Weakness Enumerationの頭文字をとった用語で、脆弱性の種類を識別するための共通基準です。CWEは、脆弱性のタイプをリスト化して種類別に分類した指標で、脆弱性の特定や対策、予防の共通言語としても用いられます。
さまざまな企業が提供する脆弱性診断ツールや、日本のIPA(独立行政法人情報処理推進機構)でも採用されている指標です。
2.CVE(共通脆弱性識別子)
CVE(共通脆弱性識別子)は、Common Vulnerabilities and Exposuresの頭文字をとった用語で、MITRE社によって採番される脆弱性を一意に識別するために付与される識別子です。CVE識別番号は、脆弱性対策情報の相互参照や関連づけに有益です。
CVE識別番号管理サイトでは、CVEの番号とともに脆弱性の内容や、CVE情報源サイトのURLなどが公開されています。加えて日本では、CVE互換認定を受けているJVNという識別子があり、日本独自の脆弱性情報が公開されている点が特徴です。
3.CVSS(共通脆弱性評価システム)
CVSS(共通脆弱性評価システム)とは、Common Vulnerability Scoring Systemの頭文字をとった用語で、脆弱性の深刻度の評価基準となる指標です。脆弱性に対するオープンで汎用的な評価方法として、ベンダーに依存しない評価方法を提供しています。
機密性と完全性、可用性への影響と攻撃の難易度や深刻度を、定量的に評価でき、脆弱性の深刻度も比較できるようになりました。
CWEにおける代表的な脆弱性の種類
CWE(共通脆弱性タイプ)に関して、代表的な脆弱性の種類を解説します。
クロスサイト・スクリプティング
クロスサイト・スクリプティングとは、掲示板や入力フォームなど、利用者の個人情報入力のあるWebアプリケーション上で、悪質なスクリプトを埋め込められる脆弱性の種類です。
攻撃を受けると勝手に個人情報を投稿されたり、間違った情報が表示されたりします。また、IDやパスワードなど個人情報を盗まれるケースもあります。IPAの調査では、被害報告が最も多い脆弱性の種類です。
SQLインジェクション
SQLインジェクションとは、データベースと連携したWebアプリの脆弱性を利用し、外部から細工したSQLの埋め込みにより、データベースを不正操作される脆弱性のことです。
攻撃を受けると、データベースの情報の改ざんや消去の被害を受ける可能性があります。また、名前や住所、クレジットカード情報など、個人情報の漏えいにもつながるため、注意が必要です。
OSコマンド・インジェクション
OSコマンド・インジェクションとは、ソフトウェアなどの脆弱性を利用して、外部からOSコマンドを不正に実行される脆弱性の種類です。
被害に遭うと、WebサーバーへのリクエストにOSへのコマンド(命令文)を紛れ込ませ、不正プログラムが実行される恐れがあります。また、Webサーバー内ファイルの閲覧や改ざん、削除などにも注意が必要です。
HTTPSの不適切な利用
HTTPSの不適切な利用とは、HTTPSの仕組みが利用され、DDoS攻撃の対象になる脆弱性の種類です。本来、HTTPSには、通信内容の暗号化や通信相手の正当性が、第三者機関により保証されていることを証明する役割があります。
しかし、証明書の期限切れや証明書の発行が信頼された第三者機関でない場合、正常なサイト閲覧ができなくなったり、暗号化通信ができなくなったりします。
バッファエラー
バッファエラー(別名「バッファオーバーフロー」)は、バッファを超えたデータが他のデータを書き換えることで発生する脆弱性の種類です。
攻撃の標的になると、バッファ領域があふれるほどの文字列が送られ、システムダウンし、プログラムが悪用されます。また、パソコン(PC)を乗っ取られるなどの危険性も高まります。
不適切な入力確認
不適切な入力確認とは、入力エリアにプログラムに影響する実行コードを入力すると、それが実行されてしまう脆弱性です。被害に遭うとスパム送信の踏み台にされたり、別のプログラムを不正に操作されたりする可能性があります。
たとえば、問題のあるWebサイトを経由して自社の名を騙った迷惑メールが不正にクライアントに送信されると、自社の信用が低下するおそれがあります。
企業ができる脆弱性への対策
企業は脆弱性に対し、どのような対策ができるのでしょうか。代表的な5つの対策を解説します。
脆弱性に関する情報収集
情報システムやネットワークに対する攻撃は日々多様化しています。流行している攻撃の動向や脆弱性を知るには、脆弱性に関する最新の情報収集が必要です。
たとえば、脆弱性対策情報データベースを利用すれば、自社で利用しているソフトウェアやシステムに新たな脆弱性が発見されていないか、定期的なチェックが可能です。
設計段階から脆弱性対策を考慮する
脆弱性の多くは、WebサイトやWebアプリなどの設計段階におけるリスクへの意識や検討不足が原因です。Webサービスができた後に脆弱性対策を施すことは、無駄な時間と労力をともないます。
したがって、効率的な脆弱性対策には、設計段階から脆弱性対策を考慮することが重要です。要件定義や設計、実装、テスト、運用など大きな段階ごとに脆弱性やセキュリティのチェックが欠かせません。
脆弱性対策ツールの導入
脆弱性を狙った攻撃を防ぐための方法として、脆弱性対策ツールの導入が挙げられます。仮想パッチ機能があるツールなら、シグネチャによりアクセスを検出し、脆弱性を突く攻撃の破棄が可能です。
たとえば、WAFやEDR、UTMなどがWebアプリの脆弱性を突いた攻撃へのセキュリティ対策となります。
定期的な脆弱性診断の実施
脆弱性診断とは、セキュリティ対策企業などが提供している、模擬攻撃によって脆弱性をあぶりだすサービスです。WebサイトやWebサービスを公開している場合は、定期的な脆弱性診断が必要になります。
特にクレジットカード情報を取り扱う企業では、4半期に1回、または大きな変更をした際に脆弱性診断が義務化されています。
脆弱性発見時の的確な対応
社内で脆弱性が発見された場合は、迅速な対応が必要です。非常事態に的確に対応できるよう、攻撃にあったらどうするか手順の事前確認を行ないましょう。
問題となっている脆弱性の危険性や攻撃された場合のリスクや影響について把握し、影響が出る範囲に対する対応策を決定します。対処に必要な期間やサービス停止の必要性なども確認したあとは、実際に必要な対処を迅速に実施しましょう。
まとめ
WebアプリやWebサイトの脆弱性の種類は多種多様です。日々進化する攻撃には、適切な技術を用いた対策が重要です。
KDDI まとめてオフィスでは、KDDIが長年培った高品質でセキュアな通信を軸に、最適なソリューションを、ワンストップでご用意します。スマートフォン・PCなどのデバイスと、クラウド・セキュリティなどのITソリューションで、脆弱性に関わる課題を解決します。
そのほか、オフィス什器や備品、オフィス移転・リニューアル、災害・感染防止用品まで、お客さまのあらゆるご要望に対応可能です。お客さまの目的や予算に合わせたセキュリティ対策をサポートし、ビジネスの成長に貢献します。
※ 記載された情報は、掲載日現在のものです。
