ソフトウェアアップデートでサイバー攻撃を防ぎましょう

ソフトウェアアップデートでサイバー攻撃を防ぎましょう

IPA(情報処理推進機構)が4月22日に「2015年第1四半期 脆弱性対策情報データベース」を更新しました。

この報告書にはソフトウェア製品に関する脆弱性対策情報の件数が掲載されています。 結論としてはセキュリティの脆弱性が増え、その都度ソフトウェアのアップデート件数が増加する傾向にあるようです。

そこで今回はシステムの脆弱性とアップデートの重要性についてお話させて頂きます。

IT業界まるわかりガイドは、日本初Web専門スクールのインターネット・アカデミーが運営する業界情報メディアです。最新の業界情報を、初心者にも分かりやすくご紹介しています。

目次

システムの脆弱性の発生原因

サイバー攻撃者が標的にする脆弱性の多くは、 ソフトウェアの作成時に発見できなかった不具合であったり、OSやアプリケーションを正しく設定していない、 あるいは販売元から提供される更新プログラムを適切に更新していない等が原因で発生します。

脆弱性が残されたままシステムを使い続けると、データの破損や漏洩が起こったり、 サービスが使用停止状態に陥ったりするリスクが高まります。

セキュリティホール

セキュリティホールとは、セキュリティ上の欠陥のことです。 コンピュータのOSやソフトウェアにプログラムの不具合や設計ミスがあると、 そこがセキュリティホールとなり、攻撃者に利用され、不正侵入や攻撃に繋がるリスクが生じます。

代表的なセキュリティホールに、バッファオーバーフローがあります。 バッファオーバーフローは、昔から現代に至るまで、OSやアプリケーションにおいて発見される欠陥です。 プログラムを実行する際に一時的に使用される記憶領域をバッファと呼びますが、 このバッファに入りきらない量のデータが渡されることでシステムが停止したり、 予期しない動作が起きることがあります。

そうしたバッファオーバーフロー攻撃をしてシステムをクラッシュさせた後に、悪質な攻撃を行うということがサイバー攻撃者の攻撃手段の1つなのです。

アップデートの重要性

正常にシステムを稼働させることができても、 適切にソフトウェアをアップデート(更新)することができなければ、 システムは攻撃を受けるリスクが大きくなります。

システムの脆弱性を漏れなく防ぐためにセキュリティツールを使用することがあります。

セキュリティツールの種類によって機能が異なりますが、一般的には様々な脆弱性をチェックし、 脆弱性を発見した場合は対象となるソフトウェアをアップデートします。

セキュリティツールを適切に導入していないと、 修正プログラムが更新されないまま、システムが危険な状態で放置されることがあります。

セキュリティツールの活用

ここまでで、適切にソフトウェアをアップデート(更新)することの重要性はお分かりいただけたと思います。

しかし、いざセキュリティ担当者が社内にあるすべてのコンピュータのソフトウェアをひとつひとつ手動でアップデートしようとするのは大変ですし、現実的ではありません。 そこで、ソフトウェアを一元管理できるセキュリティツールを導入することをお薦めします。

有名なセキュリティツールとしては、Symantec社のエンドポイントプロテクションが挙げられます。 これは業務用に開発された総合セキュリティソフトです。

コンピュータウイルスをはじめとするマルウェア対策やファイヤーウォール、侵入防止システムなどの機能を備え、 ネットワーク管理者が専用マシンから複数の端末を一括して管理できる機能が備えられています。 システムのセキュリティリスクを低減するために、エンドポイントプロテクションの導入が有効です。

もしエンドポイントプロテクション等のセキュリティツールを導入しない場合は、 システムの定期的なアップデートを心がけ、脆弱性を少なくする努力が必要です。