脆弱（ぜいじゃく）性対策とパッチマネジメントを再考する：セキュリティ強化塾（3/3 ページ）

[キーマンズネット]

脆弱性情報データベース「JVN iPedia」の活用

　毎日のように、さまざまなプログラムやコンポーネントの脆弱性が明らかになっている。これを網羅的にチェックできるのが「脆弱性対策情報データベース検索『JVN iPedia』」だ。

図2　JVN iPedia

　ただし、これは非常に便利であるが、同時に悪意のある攻撃者たちも閲覧できることを忘れてはならない。技術力のない攻撃者であっても、この情報を基に攻撃手法を考えることができる。

　脆弱性対策とは、ソフトウェアを適切にアップデートすることに尽きる。そのためには、そもそも脆弱性とは何かを知っておかなければならない。「ソフトウェアは部品であり、一度動いたものはそのまま使い続けられる」という認識を持つ人は少ないだろう。しかし、多くのプログラムで脆弱性が放置されたままになっており、時に大規模なセキュリティ被害を生じさせている。

　「2016年度 中小企業における情報セキュリティ対策に関する実態調査」において、興味深い調査がある。なぜセキュリティパッチを適用しなかったのかという質問だ。これによれば、パッチが悪影響を及ぼすリスクを懸念したというよりも、そもそもパッチなど不要だと思い込んでいるケースが多いことが分かる。

図3　セキュリティパッチ適用なしの理由

　複雑で精密なソフトウェアという部品は、時間の経過につれて攻撃手法が考案され、安全性が低下するという性質を持つようになった。そのために逐次アップデートが必要なのだ。この認識が経営陣、現場ともになければ、脆弱なソフトウェアが残り続けてしまうだろう。

　脆弱性とはソフトウェアとは切っても切れない関係にある。いかにこの脆弱性と付き合っていくか、開発者側、利用者側ともに考えなくてはならないだろう。