ISMS を構築する過程で「脆弱性」というキーワードが出てきます。この脆弱性とはどのようなもののことを指すのでしょうか? 今回は、情報セキュリティの脆弱性について具体例を挙げながら解説していきたいと思います。

目次

脆弱性とは

情報セキュリティの脆弱性とは、コンピューターやオペレーションシステム、あるいはコンピューターにインストールされたソフトウェアの不具合や設計上のミスが原因で存在するセキュリティ上の欠陥のことを指します。文脈によっては、脆弱性はセキュリティホールとも呼ばれます。

脆弱性はコンピューターウイルスの感染経路となったり、外部からの攻撃によってデータ改ざんされる原因となったりします。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

脆弱性の具体例

では、具体的に脆弱性とはどのような原因で発生するのでしょうか?

設計ミスや開発者のミスによる脆弱性

コンピューターのOSやソフトウェアというものは、何千、何万行もの複雑なプログラムによって構築されています。こういったプログラムは設計段階で脅威については検討されていますが、開発者とて万能ではありません。皆さんもよくご存知のWindowsを開発したMicrosoftや検索のエバンジェリストであるGoogleのような技術力の高い企業でさえ頻繁に自社製品の脆弱性を公表しています。

——開発者が予期しない動作や実行環境というものは無限に存在しており、どのようなものであっても脆弱性というものは絶対に出てくるものなのです。

こういった設計ミスに対しては、修正パッチというものが当てられますので、ソフトウェアやOSは常に最新の状態のものにアップグレードするようにしておきましょう。

脆弱性は発覚次第公表されてしまいますので、最新版を維持しないということは、攻撃者の格好の餌食になってしまうからです。

開発者が意図的に入れた脆弱性

製品やソフトウェアの中には、開発者が意図的に脆弱性を仕込む可能性もあります。例えば数年前に一部の中国製の監視カメラが外部からアクセスできる状態になっており、監視カメラの映像がインターネット上に無断で掲載されているということで話題になりました。

——これは、中国製品だから悪いというわけではありません。この手の製品は、どのようなものであっても意図的にバックドアというものを設置します。バックドアとは、開発を円滑に進めるために開発者がコンピューター内部に入り込むために設置される勝手口のようなもので、通常は製品出荷前にバックドアを撤去してから出荷されます。しかし、稀にこのバックドアが撤去されていない状態で出荷されてしまうことがあるのです。

そうでなくても、開発者が悪用する目的で意図的にバックドアを撤去せずにインターネット上や市場に送り出された製品も存在します。このため、信頼できないメーカーやインターネット上からダウンロードできる無料のツールには十分に注意したほうが良いでしょう。

技術的な問題による脆弱性

特にインターネット業界については、ここ数年で急速な進化を遂げてきました。この急速な進化の過程では、有志のエンジニアやプログラマによって進化してきたものもあります。しかし、ビジネスとして開発を進めるのではなく、有志で進んできたからこそのデメリットもそこには存在しているのです。

例えば現在インターネット上に存在するWEBサイトの多くはPHPというプログラム言語によって構築されていることが多いですが、このPHPには様々な脆弱性が存在しており、数年経過しても解消されていないものも多いのです。

脆弱性はコンピューターに限った話ではない

さて、ISMSは何もサイバー攻撃から情報を守るだけのマネジメントシステムではありません。情報を保護するためには、コンピューターやネットワークに存在する脆弱性だけでなく、人間が持つ脆弱性にも目を向ける必要があるでしょう。

例えば、社内の人間が全員セキュリティに関する知識を身に着けており、あらゆる対策が個人の力量に依存して完璧に行われているのであれば心配はないでしょうが、実際問題そのような組織はほとんど存在しません。

例えばIDやパスワードを推測されやすいままにしていたり、業務効率化のためにインターネット上から便利なツールを見つけてはダウンロードしてきたり、フィッシング詐欺にあってしまったり…様々なリスクが考えられます。——つまり、セキュリティ教育不足や危機感のなさという要因も脆弱性と呼べるのです。

ISMSでは、OSやソフトウェアのような「モノ」に潜む脆弱性だけでなく、「ヒト」に潜む脆弱性についても対応していく必要があります。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料
  • 無料資料 | ISO27001・Pマーク導入 徹底解説
  • 『ISO27001・Pマークを網羅的に分かりやすく』をコンセプトに、ISOコンサルタント監修のもとISO27001・Pマークについて図解などを交え詳細に解説しています。分かりやすいというお声も多くいただいていますので、ぜひ御社でご活用ください。
  • 必須ご担当者様名
  • 必須電話番号
  • 任意会社名
  • 任意メールアドレス
  • 必須個人情報の取り扱い
    (個人情報保護方針を読む)

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

ISO27001、40,000円/月から作業工数ほぼ0実現!ISO新規取得・運用完全サポートならISOプロ