様々な種類が存在!セキュリティホールの概要と対策とは

この記事は約6分で読めます。
2021.03.08

セキュリティホールという言葉を聞いたことはあると思いますが、何がセキュリティホールなのか、ご存じの方は意外に少ないのではないでしょうか。

セキュリティホールは、セキュリティに穴が開いている状態のことを言いますが、具体的には何がセキュリティの穴になるのか、種類別に整理しつつ概要についてお伝えし、対策も併せてご紹介いたします。

また、LRMでは企業がやるべきセキュリティ対策をまとめた14分野30項目のチェックシートを無料で配布しています。

貴社でセキュリティホールがないか、確認してみてください。

セキュリティチェックシート
自社のセキュリティ状況を客観評価
現役セキュリティコンサル作成14分野30項目(無料)
チェックリスト画像

セキュリティホールとは

セキュリティホールは、その名の通りセキュリティに空いた穴のことです。

一般的にセキュリティホールというと、ソフトウェアなどの設計時に生じるプログラミングの不具合やバグ・ミスにより、発生した欠陥のことを言います。
セキュリティホールがあることにより、外敵からの攻撃には非常に弱くなってしまいます。マルウェアの侵入や、標的型メール攻撃DDoS攻撃など、セキュリティの脅威を呼び込みやすくなるためです。

セキュリティホールが生まれる原因はプログラムの不具合がほとんどです。

セキュリティホールは、プログラミングに基づく不具合であり、ベンダーが原因を生じさせているのですが、時に次々に発生してしまうことがあります。
これは例えばベンダー側で生じさせるOSの欠陥であることが考えられ、修正プログラムの配布で、さらに大きなセキュリティホールが生じることを予防します。

OSがあまりに古くなると、修正プログラムで対応するのでは間に合わなくなりますので、ベンダーはOSの新バージョンへの移行を誘導します。

セキュリティホールと脆弱性の違いとは

セキュリティホールと似た概念で、「脆弱性」があります。

セキュリティホールがソフトウェアについて発生する「不具合(バグ)」のことなのに対し、脆弱性は外部からの攻撃に対する「弱点」を指しています。
セキュリティホールはプログラムについての不具合、これに対して脆弱性は、コンピューターやネットワークを取り巻く環境すべてにかかわるもので、脆弱性はセキュリティホールも含むものです。

例えば、管理体制の問題でウイルスに感染した場合、管理体制そのものに脆弱性がある、ということができます。
これに対して、管理体制のためにセキュリティホールが生じるということはありません。プログラミングを行う際に、何らかの原因で発生するものです。

ただし、セキュリティホールも、外敵からの脆弱性であることには違いはありません。

セキュリティホールはサイバー攻撃の標的になる

セキュリティホールは、サイバー攻撃を仕掛ける外敵から常に狙われているものです。セキュリティホールを狙うサイバー攻撃にはどのようなものがあるか、簡単にまとめてご紹介します。

強制ブラウジング

アドレスバーにURLを入力し、通常はアクセスできないファイルやディレクトリをブラウザに表示させます。外部にこれらの情報が洩れると、情報漏えいが起こる可能性があります。

バッファ・オーバーフロー

バッファ・オーバーフローは、脆弱性そのもの、攻撃、その双方を指すことがあります。
プログラムが用意したバッファの大きさを超えてデータを書き込んでしまうことから、バッファ・オーバーフローといいます。

書き込まれたファイルが実行可能なファイルであるとすると、コンピューターは、思わぬ動きに出ることがあります。これも情報漏えい・データ破壊など、深刻な問題となります。

SQLインジェクション

SQLインジェクションは、Webアプリケーションに対する攻撃で、Webサイト経由によりデータベースに侵入して、個人情報を外部に露出させるなどの深刻な被害をもたらします。Webサイトの脆弱性・セキュリティホールを狙う攻撃です。

クロスサイト・スクリプティング

Webサイト・Webアプリのセキュリティホールないし脆弱性に漬け込み、Webサイトの書き換え・不正なデータの収集などの攻撃を行います。
サイトを横断して書き換えることができることから、この名前がついています。

DNSキャッシュポイズニング

ドメインネームサーバーのセキュリティホール・脆弱性を利用し、偽サイトなどの有害サイトにユーザーを移動させ個人情報を窃取したり、DNSを利用不能にしたりと、大きな被害をもたらします。

ゼロデイ攻撃

セキュリティホールが発見されてから、対策を確立するまでの間の脆弱性を利用して、攻撃を加えるものです。バッジプログラム・更新プログラムの配布の日をワンデイとすると、その前の日までに攻撃を加えることゼロデイ攻撃といいます。

更新プログラムで防御できず、容易に対策できない攻撃であることから、悪影響が広がりやすく、被害は深刻です。データ破壊、情報漏えい、ネットワークの利用不能など、広範囲の企業活動に悪影響を与える可能性があります。

企業がやるべきセキュリティ対策 チェックシートを無料でDLする

セキュリティホールへの対策とは

セキュリティホールに有効な手段の一つは、セキュリティバッチをインストールすることです。
また、セキュリティソフトウェアを用意して、インストールしておくことも対策となります。

最新のセキュリティパッチにする

基本は、セキュリティ修正がリリースされたらセキュリティバッチをすぐに適用することです。ただし、ソフトウェア開発の事情などですぐに修正を適用できない場合は別です。

バッチを適用するほか、OS以外のソフトウェアも定期的に開発元のサポート情報を確認することと、サポートのプロダクトライフサイクルを考えて、サポート対象のバージョンに切り替えることも重要です。

セキュリティ対策ソフトを導入する

PCには必ずウイルス対策ソフトを導入すること、また、ファイアウォールの導入や各サーバへのセキュリティ対策ソフト導入も必須と考えるべきです。

防御は年々技術が向上しますが、異常発生を監視、検知するEDRや、システム上の権限を信用しないゼロトラストネットワークと呼ばれる通信・仕組みも登場しています。

脆弱性診断を受ける

また、脆弱性診断を定期的に受けることは、セキュリティホールの対策に有効です。
新規システムがリリースされる際も、十分なレビュー・診断の実施は必要なことです。

各社がリモートで行える脆弱性診断は、コロナ禍にあって、増加傾向にあるセキュリティインシデントの予測と解決に役立てることができます。

まとめ

セキュリティホールは、外敵から狙いうちされるものです。

サイバー攻撃は、セキュリティホールを狙うものが多く、ある程度は、ベンダーが配布する修正プログラムや、更新プログラムで防御もできます。しかし、攻撃力が高い場合、あるいは新しい攻撃パターンである場合などは、修正プログラム・更新プログラムでも対抗がしにくいこともあります。

セキュリティホールは、0になることは現実的でないですし、また、セキュリティホールを狙った悪意ある攻撃に対してむしろ重要なのは、被害を最小限にする対策のほう、と考えるほうが実情に合っているのです。

セキュリティホールはありうること・ありうるものであり、なおかつ、想定を超える被害も生じることがある、と考えて、企業は情報セキュリティ管理体制を構築するようにしていきましょう。

セキュリティチェックシート
自社のセキュリティ状況を客観評価
現役セキュリティコンサル作成14分野30項目(無料)
チェックリスト画像
情報セキュリティ対策インシデント対策
タイトルとURLをコピーしました