第21回：シリーズ『情報セキュリティ』（2／2）

一般的に、ソフトウェアに脆弱性が発見されると、脆弱性を修正するためのプログラム（これらは「パッチ」とも呼ばれる）が、ソフトウェアの開発元などから提供されます。それらの修正プログラムを、それがリリースされたタイミングで当該ソフトウェアに漏れなく適用すれば、サイバー攻撃者に脆弱性を突かれるリスクは低減できます。ただし、自社開発したアプリケーションなど、そもそもパッチが提供されないケースもあります。それ以前に、どのようなソフトウェアが導入されているか知らない、脆弱性があることに気付いていない、脆弱性のリスクそのものを理解していないといった状況は、セキュリティの面で非常に危険と言えます。また、パッチが提供される環境であったとしても、修正プログラムの適用を怠っていたり、忘れたりすることで、脆弱性を突いた攻撃によって実害を被る恐れが強くなるのは言うまでもありません（図2）。

脆弱性を突いた攻撃には多くの種類があり、それによって被る実害も「Webページの改ざん」「サーバー内の重要データの窃取／改ざん／消去」「システムの破壊」などとさまざまです。

このうち、脆弱性攻撃によってWebページの改ざんが行われると、自社のWebページが偽情報の流布に使われたり、詐欺行為を目的にしたフィッシングサイトへの誘導に悪用されたり、マルウェア／ウイルス感染の温床として使われたりするリスクがあります。また、脆弱性攻撃によって、サーバー内の重要データが外部に流出したり、消失したりすれば、損害賠償などの支払いや社会的信用の低下など、大きな痛手を被りかねません。もちろん、業務で使っているシステムが攻撃によって破壊されれば、ビジネスが滞り、経済的なダメージを受けることになります。

一方、IoT機器の脆弱性を突いた攻撃もリスクの高い脅威です。その中で、目に見える脅威となり始めた一つが、監視カメラの脆弱性を突いた攻撃です。

監視カメラの多くは、インターネット越しにサイバー攻撃を受けることを前提に設計されておらず、サイバー攻撃者が比較的容易に乗っ取れてしまうとされています。実際、多数の監視カメラが乗っ取られ、特定のサーバーを狙った大規模DDoS（Distributed Denial of Service attack：分散型サービス拒否）攻撃の踏み台として悪用される事件がすでに発生しています。また、監視カメラの脆弱性が突かれることで、カメラの撮像が盗み見されたり、改ざんされたりする恐れもあり、万が一、企業の監視カメラがそのような攻撃を受けた場合には、オフィスの物理的な安全性も危険にさらされることになります。

このほか、エアコンなどの家電製品や自動車など、身の回りに存在するさまざまな機器がインターネットに接続されるようになった昨今、これらもサイバー攻撃の標的になるリスクを潜在的に抱えています。監視カメラへの攻撃は、一つの例に過ぎないのです。

以上のように、システムに潜在する脆弱性は企業のセキュリティを大きく脅かすもので、脆弱性への対策を講じることは、サイバー攻撃から会社を守るための必須施策と言えます。

とはいえ、脆弱性対策を徹底するのは簡単なことではありません。理由の一つは、今日の企業内システムにしても、Webサイトにしても、さまざまなソフトウェアから構成され、構造が複雑化しているからです。その中で、毎日のように発見される新たな脆弱性と、自社が活用するすべてのソフトウェアを突き合わせながら、スピーディーに対策を講じていくというのは大変な作業と言えます。

また、脆弱性対策を講じるうえでは、自社のシステムの現状をしっかりと把握することが初めの一歩ですが、自社のシステムを構成する一つ一つのソフトウェアについて、そこに脆弱性が潜在しているかどうかを漏れなく点検するのは、相当の手間がかかるうえに、技術的な難度も高い取り組みです。

例えば、Webアプリケーションの脆弱性を突いた攻撃の一つに、「SQLインジェクション（攻撃）」と呼ばれるものがあります。これは、データベースを操作する標準言語SQLを用いた攻撃で、Webアプリケーションのテキスト入力フィールドに、アプリケーション開発者が想定していなかったようなSQL文を入力し、サイト内のデータベースを不正に操作してデータを窃取したり、改ざんしたりする攻撃のことです。また、Webサイトの脆弱性を突いた攻撃には、サイト上のブログ入力欄などに不正なプログラムを埋め込み、そのブログの閲覧者を不正サイトに誘導するような「クロスサイト攻撃」もあります。

システムの脆弱性を点検するには、最新の脆弱性に関する知識だけではなく、このような攻撃の手法やサイバーセキュリティに関する専門的なスキル／知識が必要とされます。

ところが、一般的な企業の情報システム部門には、サイバー攻撃やセキュリティに精通した専任の担当者がいないことが多くあります。また、会社のWebサイトについては、販売／マーケティング部門が管理し、情報システム部門の管轄外に置かれていることがあります。このような場合、情報システム部門の方が、自社のWebサイトを構成するソフトウェアについて、すべてを把握しきれていないことが珍しくありません。

そうした状況の中で、Webサイトを含めた会社のシステムの脆弱性をすべて洗い出すというのは非常に困難な作業ですし、限りある人的リソースの下で、日々のIT業務に追われている情報システム部門にとっては負担の大きすぎる取り組みと言えるのではないでしょうか。

ここでは主に社内システムの脆弱性について考えてきましたが、一方で、脆弱性のある製品を出荷し、リスクに気付かず社会に送り出してしまうことも大きな危険性をはらんでいます。

次回は、脆弱性対策を巡る、こうした企業の課題を一挙に解決する方法についてご紹介します。ご期待ください。