コンピュータの脆弱性と脆弱性マネジメント

EnterpriseZine / 2012年3月15日 0時0分

図表1:漏えい原因比率

2011年11月に翔泳社より刊行された『情報化白書 2012』(一般財団法人日本情報経済社会推進協会編)は、IT業界の現状を俯瞰することを目的として、最新トピックスからITに関連した法制度などに至る広範な記事を掲載している。このコーナーでは、『情報化白書 2012』の編纂に合わせて行われた調査報告などからまとめたレポートを紹介していく。その第2弾として、『情報化白書 2012』の記事から「コンピュータおよびサーバーのセキュリティ」を3回にわたって掲載する。

 ここでは、はじめになぜコンピュータおよびサーバーのセキュリティが必要であるかを記述する。

 システムのセキュリティを検討するうえでは、守るべき情報資産を決定し、その資産の所在を考える必要がある。また、一般に情報資産は、中間ノードもしくはエンドノードに接続するコンピュータに蓄積することが多い。しかし、コンピュータ上で動作するソフトウェアには不具合が存在することがある。そのような場合、守るべき情報資産が脅威にさらされ、その資産が保護されない状態になる可能性がある。

 上記のような状態を回避するためには、開発者および利用者が、適切なセキュリティ対策を実施しなければならない。ここでは特に「サーバーコンピュータを含むコンピュータ」に焦点を当てて、現状を述べる。
1 コンピュータの脆弱性管理
■1.1 脆弱性とは

 脆弱性とは、ソフトウェア製品やアプリケーション等におけるセキュリティ上の問題箇所である。システムが、脆弱性を利用した攻撃を受けた場合、システム停止やシステム内のデータの不正な参照などが引き起こされる可能性がある。脆弱性は、システム内のあらゆる部分に存在する可能性がある。以下に、脆弱性が存在する可能性のある部分を例示する。
 脆弱性が存在する可能性がある部分の例

 (1) システム基盤(例:OSやDBMSを始めとする各種サーバーソフトウェア)  (2) アプリケーションソフトウェア(例:業務システムを構成するソフトウェア)  (3) システムを構成する装置の制御用ソフトウェア(例:ネットワーク機器のファームウェア)

■1.2 システム基盤の脆弱性に起因するインシデントの発生件数

 「2010年情報セキュリティインシデントに関する調査報告書~個人情報漏えい編~」(特定非営利活動法人日本ネットワークセキュリティ協会)に記載されている、個人情報漏えいの原因別件数とその比率を図表1に示す。この中で、個人情報漏えいのインシデントのうち、システム基盤の脆弱性に起因するものの割合は、1.5%と小さい値で抑えられている。

 このような結果が示されている理由としては、各企業がセキュリティ対策として、ファイアウォール、侵入検知システム(IDS)や統合脅威管理(UTM)などの監視/防御装置を積極的に導入しており、サービスを提供するコンピュータを、インターネットなど不特定多数が触る環境に、直接置かないようにしていることが考えられる。
図表1:漏えい原因比率

宮本久仁男、 重田真義[著]

■記事全文へ

EnterpriseZine

トピックスRSS

ランキング