第21回:シリーズ『情報セキュリティ』(1/2)

狙われる企業システムの「脆弱性」

ITは企業の生産性向上に欠かせないツールであり、ビジネスでのITの利活用は今日もなお急ピッチで進んでいます。その背後で膨らみ続けているのが、情報漏えいなどのセキュリティリスクです。とりわけ近年では、企業のセキュリティを脅かすサイバー攻撃が多様化・高度化し、さまざまな実害を企業にもたらしています。そこで本シリーズ「情報セキュリティ」では、“今、企業が留意すべきセキュリティ上の脅威とその対策”について4回に分けて紹介していきます。初回となる今回は、サイバー攻撃者が常に標的にしている、企業システムの「脆弱性」について解説します。

「脆弱性」とはそもそも何なのか

インターネットなどでセキュリティのことを調べようとすると、必ずといっていいほど遭遇するのが「脆弱性」という用語です。

この「脆弱性」とは、ITシステムを構成するOSやミドルウェア、アプリケーションといったソフトウェアの「セキュリティ上の欠陥/不具合」を指す言葉です。セキュリティ上の欠陥/不具合とは、サイバー攻撃に悪用される可能性のあるウィークポイントを意味しており、そのウィークポイントはプログラミング上のミスではなく、設計上のミスによって生まれるケースが多いと言えます。

ソフトウェアの設計ミスは、ソフトウェアの機能や動作性能に関わるものであれば、見つけるのは難しいことではありません。ところが、セキュリティ上の設計ミスを見つけるのは、なかなか大変です。というのも、サイバー攻撃の手法は極めて多岐にわたり、それらのすべてを想定したうえで、ソフトウェアに設計上の問題がないかどうかを点検するのは容易なことではないからです。

そうしたことから、ソフトウェアがリリースされ、市場に出回ったのちに脆弱性が発見されることがよくあります。しかも、サイバー攻撃の手法は絶えず変化しており、新しい手法が相次いで生まれています。そのため、設計した時点では問題のなかったソフトウェアに、新たな脆弱性が見つかることも珍しくありません。

こうした企業システムの脆弱性は、どの程度の頻度で発見されているのでしょうか。

IT企業から脆弱性の報告を受けている独立行政法人 情報処理推進機構(IPA)の 新しいウィンドウ: 『ソフトウェア等の脆弱性関連情報に関する届出状況』によれば、2018年10月~12月において、ソフトウェア製品については57件、Webサイトに関しては36件の脆弱性の届出があったといいます。

これを言い換えれば、ほぼ1日に1件という高い頻度で、市場に出回っているソフトウェア製品や運用中のWebサイトに脆弱性が見つかっているということです。しかも、2004年7月から2018年12月までの届出累計を見ると、ソフトウェア製品では4,226件、Webサイトについては9,866件もの脆弱性が報告されています。そして、サイバー攻撃を仕掛けてくる犯罪者は、こうした脆弱性をめがけて攻撃を繰り出してくるのです。

加えて今日では、IoT(Internet of Things)の潮流の中で、監視カメラなど、これまでオフラインで利用されていた組み込み機器がインターネットに接続されるケースが増え、そうしたIoT機器の脆弱性がサイバー攻撃の格好の標的にされ始めているようです。例えば、総務省の『平成30年版 情報通信白書』によれば、2017年に観測された攻撃パケットの過半数(54%)が、IoT機器をターゲットにしたものだったといいます(図1)。

図1:年間観測攻撃パケット数の内訳

図1:年間観測攻撃パケット数の内訳

出典:総務省「平成30年版 情報通信白書」/国立研究開発法人 情報通信研究機構(NICT)「NICTER観測レポート2017」を基に総務省が作成
新しいウィンドウ: http://www.soumu.go.jp/johotsusintokei/whitepaper/ja/h30/html/nd133500.html

バックナンバー

商品に関するお問い合わせ

パナソニック ソリューションテクノロジー株式会社 お問い合わせ受付窓口
電話番号: 0570-087870
    受付時間: 9時00分~17時30分 (土・日・祝・当社指定休業日を除く)

お問い合わせイメージ お問い合わせイメージ

※ 記載されている会社名、商品名は各社の商標または登録商標です。なお、本文中では™、®マークは基本的に明記していません。