IR 情報

お問い合わせ

BLOG

Linux OS

2020 年 11 月 30 日

脆弱性とは? ~ 脆弱性とそこに潜むリスク、その対策のやさしい解説

脆弱性(ぜいじゃくせい)とは  

脆弱性とは、スマホやパソコン、サーバーなどの OS やソフトウェア ( アプリ ) に存在する情報セキュリティ上の欠陥のことを言います。OS やソフトウェアの動作には問題がなかったとしても、プログラムの不具合や設計上のミスが原因となってセキュリティ上の不具合ができてしまうことがあり、このセキュリティ上の不具合を脆弱性と呼びます。脆弱性は、セキュリティホールとも呼ばれます。 

この脆弱性に関して、米国政府の支援を受けた非営利団体の MITRE 社が脆弱性情報データベースを提供しています。この脆弱性情報データベースのことを CVE (Common Vulnerabilities and Exposures) と言います。また、脆弱性には CVE-ID とよばれる固有の番号が付与されます。 

近年、新たな脆弱性が次々と発見されており、公開された CVE の数は年々増加傾向にあります。

脆弱性の危険性とその対策

脆弱性が残された状態でコンピューターを利用していると、不正アクセスに利用されたり、ウイルスに感染したりする危険性があります。

脆弱性を塞ぐには、OS やソフトウェアのアップデートが必要となります。多くの場合、脆弱性が発見されると、ソフトウェアを開発したメーカーが更新プログラムを作成して提供します。ただし、一度脆弱性を塞いでも、また新たな脆弱性が発見される可能性があるため、常に脆弱性情報を収集し、対策が必要な脆弱性に対しては、できる限り迅速に OS やソフトウェアのアップデートを行わなければなりません。

また、近年はゼロデイ攻撃と呼ばれる脅威が増加しています。ゼロデイ攻撃とは、OS やソフトウェアに対する脆弱性が発見されたときに、メーカーが更新プログラムを配布するまでの間に、その脆弱性を利用して行う攻撃です。脆弱性が公開されてから、メーカーが対応策を検討して更新プログラムを開発することも多いため、完全な対策は困難です。そのため、修正プログラムを適用するまでの間は、脆弱性の内容を確認したうえで、リスクを最小限に抑える対策も必要となります。

脆弱性の対策はファイアウォールだけでは不十分 ( ゼロトラストセキュリティ )

今まではファイアウォールや IPS/IDS などでネットワークの境界を監視するという脆弱性に対するセキュリティ対策が主流でしたが、近年は境界を監視するセキュリティ対策では不十分であるとされ、「ゼロトラスト」という考え方が注目されるようになっています。ゼロトラストとは、ネットワークの内側と外側を区別せず、全てを等しく疑って監視するという概念です。

境界を監視するセキュリティ対策の場合、一度境界内に入ったユーザーを信用するため、内部犯行や不正アクセスによって侵入した攻撃者の行動を制限できないという問題があります。特に、近年は電子メールを利用した高度な標的型攻撃などで内部に侵入されて、そこから既知の脆弱性情報を悪用されて情報が漏洩する事例も発生しています。そのため、境界の内側にあるシステムに対しても、日々の脆弱性管理と迅速なアップデートを行うことがセキュリティ対策として重要となってきています。

サイバートラストの脆弱性対策支援

サイバートラストでは、広く市場で活用されている Linux OS「CentOS」を安全に使っていただけるよう、脆弱性に対する情報提供や修正パッケージの提供を含む、CentOS サポートサービスを提供しています。

Linux 延長サポート for CentOS について

サイバートラストの「延長サポート for CentOS」は、CentOS 6 のメンテナンスサポート終了後に新バージョンへの移行が困難なお客様に対して、現在お使いの CentOS 6 の環境を約 3 年半延長して使えるよう、重大な脆弱性に対する修正パッケージと CentOS 6 の日本語によるテクニカルサポートを継続して提供するサービスです。本サービスのご利用により、メンテナンスサポート終了後も、引き続き CentOS 6 を安全にご利用いただくことができます。

Linux セキュリティサポート / エンタープライズサポート for CentOS

サイバートラストでは、安心して CentOS をご利用いただけるよう、ご利用中の CentOS に対して、危険度の高い脆弱性情報とその対処方法についてのメール配信サービスを含む、CentOS のサポートサービスを提供しています。

本記事に関連するリンク
「Rocky Linux, AlmaLinux 等の CentOS オルタナティブプロジェクトの比較」資料無料ダウンロード
SSL/TLS サーバー証明書 SureServer Prime
採用情報ページ リニューアル
組込み Linux にプラスして 長期間の製品ライフサイクルをサポート EM+PLS