脆弱性対策とは? 企業のリスクと対策ツールの選び方を解説
パソコンのOSやソフトウェアなどの脆弱性を放置してしまうと、サイバー攻撃によるマルウェアへの感染や情報漏洩のリスクが格段に高まります。サイバー攻撃による被害が年々増加していることもあり、企業はセキュリティの脆弱性について、適切な対策を講じなければなりません。
本記事では、脆弱性の意味や発生する原因を説明した上で、脆弱性によるリスクや被害例を紹介します。併せて、すぐに実践できる脆弱性への対策方法や、対策ツールの選び方についても見ていきましょう。
脆弱性とは情報セキュリティ上の欠陥のこと
情報セキュリティにおける脆弱性とは、パソコンのOSやハードウェア、ソフトウェアなどの設計上のミスやプログラムの不具合などが原因となって発生する、セキュリティ上の欠陥のことです。
脆弱性は、悪意ある第三者による不正アクセスやウイルス感染などのサイバー攻撃において、狙われやすい弱点となります。
脆弱性という言葉が注目される背景として、脆弱性を狙ったサイバー攻撃による被害の増加が挙げられます。総務省の発表によると、昨今の日本国内のサイバー攻撃は増加傾向にあり、2021年のサイバー攻撃関連の通信数は3年前と比較して2.4倍、5年前と比較して3.7倍となりました。
なお、AIの発達により日本語への翻訳が容易になり、世界中から日本への攻撃が増えているといいます。企業の利益や機密情報を守るために、脆弱性対策は必須といえる状況です。
脆弱性が発生する原因
セキュリティの脆弱性は、なぜ発生してしまうのでしょうか。脆弱性が発生する原因は、大きく下記の3つのケースに分けられます。
開発時の人為的ミスや設計ミス
ソフトウェアなどの開発の中で、プログラミングやコーディング時に起こる人為的ミスや設計ミスによって、脆弱性が発生することがあります。
独立行政法人情報処理推進機構(IPA)には、各ソフトウェア開発会社から自社製品の脆弱性対策情報が寄せられていますが、その更新頻度は高く、ソフトウェアに後から脆弱性が見つかることは避けられないといえるでしょう。ソフトウェア開発会社は脆弱性が見つかると製品を修正し、改善したバージョンを配布して対応します。
アップデートに企業が対応していない
ソフトウェアなどを使用する企業側が製品のバージョンアップに対応していないことで、脆弱性が放置されてしまうケースもあります。開発会社は製品に脆弱性が見つかった場合、改善したバージョンを配布しますが、使用する側が最新バージョンにアップデートしないことには、改善が反映されません。
業務で使用するノートパソコンやスマートフォンなどの端末管理がおろそかになり、アップデート情報を見逃してしまうと、脆弱性を残したリスクの高い状態で業務を続けることになってしまいます。
故意に脆弱性が仕掛けられている
ソフトウェアなどに、故意に脆弱性が仕掛けられているケースも存在します。例えば、サイバー攻撃を目的とした悪意ある無料のソフトウェアなどにおいて、外部からアクセスできるようにバックドア(攻撃者が再びシステムに侵入するために設置する不正プログラム)を用意しておくことや、内部データを勝手に送信するアプリケーションを仕掛けておくことなどです。
ほかに、退職する従業員が悪意を持って、脆弱性の原因となるツールを仕掛けていたというケースも確認されています。
脆弱性による企業のリスク
セキュリティ上の脆弱性は、企業にとって様々なリスクにつながります。具体的にどのようなリスクがあるのか、その内容を確認しておきましょう。
社内ネットワークへの不正アクセス
企業の使用するOSやソフトウェアにセキュリティ上の脆弱性があることで、その弱点を狙った悪質な第三者に、社内ネットワークへ不正アクセスされるというケースがあります。
社内ネットワークに侵入されると、ファイル共有サーバーなどから社員の個人情報や顧客データを窃取されるなど、情報漏洩のリスクが高まります。公開前の新商品・サービスの情報や、企業の経営に関わる情報などの機密情報が外部に流出すれば、自社が大きな損失を負うばかりか、取引先や顧客からの信用を失うことにもつながりかねません。
マルウェアへの感染
マルウェアとは、悪意ある不正プログラムの総称で、ウイルスもマルウェアの1つです。有名なものとしては、ランサムウェア(データを暗号化して使用できなくした上で、元に戻すことと引き換えに対価を要求する不正プログラム)やスパイウェア(個人情報やパスワードなどの機密情報を外部に勝手に送信する不正プログラム)などがあります。
脆弱性を狙ってマルウェアに感染させようとするサイバー攻撃は、多く発生しています。感染した端末の所有者になりすましてメールを送り、マルウェア感染をさせようとする不正プログラムもあるため、脆弱性からマルウェアに感染してしまうと、知らないうちに顧客や取引先を攻撃してしまうというおそれもあるのです。
- あわせて読みたい
企業情報の改ざん
脆弱性を狙って社内ネットワークに侵入されることで、第三者によって企業情報が改ざんされるおそれがあります。
例えば、経理情報の管理システムに侵入されて売上に関する情報が改ざんされたり、自社の運用するWebサイトの情報を勝手に書き換えられたりといった被害です。改ざんだけでなく、契約書や分析データなど、業務に関わる重要なファイルを削除されるというケースもあります。
脆弱性による被害事例
脆弱性を狙ったサイバー攻撃による被害は多くの企業で発生しており、その手段や被害内容も様々です。ここでは、脆弱性が原因となった4つの被害事例を紹介します。
脆弱性からランサムウェアに感染
勤怠管理システムの管理サーバーに脆弱性があり、外部から侵入されたことでランサムウェアに感染し、従業員と退職者の合わせて4,000人以上の情報が暗号化されるという被害がありました。
これは、メンテナンスのために、外部から管理サーバーへのリモートデスクトップ接続が可能となっていたことが要因です。管理サーバーに接続する際のパスワードに総当たり攻撃(考えられるすべてのパターンを検証してパスワードを割り出す手法)をかけられ、不正侵入されたと見られています。
協力企業の子会社を介して被害拡大
自社ではなく、サプライチェーンの他企業へのサイバー攻撃が原因で被害を受けたケースもあります。
ある大手自動車会社は、協力企業の子会社がサイバー攻撃に遭ったことが原因で、一時的に国内の全工場を停止する被害を受けました。サイバー攻撃に遭った協力企業の子会社は、リモート接続機器の脆弱性を悪用されて不正アクセスされたようです。自社の脆弱性対策はできていても、サプライチェーンの一部を狙われることで、製造の一連の流れに関わるすべての企業が被害を受けるという場合があります。
不正アクセスによるプログラムの改ざん
あるサービスのシステムの脆弱性が狙われ、不正アクセスによりサービスのプログラムが書き換えられてしまうという被害がありました。そのサービスを使用する複数の企業から、書き換えられたプログラムによって顧客の個人情報が窃取されてしまい、大きな被害となりました。
テレワーク環境の脆弱性を狙った攻撃
昨今は、テレワークが普及したことを背景に、テレワーク環境を狙ったサイバー攻撃が増えています。
ある企業の米国子会社では、リモート接続設定の脆弱性から管理サーバーに侵入され、ネットワーク全体に配布されたランサムウェアによる攻撃を受けたという被害事例がありました。
警察庁によると、2022年上半期のランサムウェアの感染経路は、8割以上がリモート接続の脆弱性に起因しているとのことです。
- あわせて読みたい
脆弱性対策の方法
脆弱性対策は、1つの対策だけを実行するのではなく、複数の対策を並行して進めるのが効果的です。具体的な対策として、下記の3つを確認しておきましょう。
OSやソフトウェアのバージョン管理
脆弱性への対策としてまずやるべきことは、OSやソフトウェアなどの適切なバージョン管理です。常に開発会社からの更新情報を確認して、適用すべきアップデートがあれば、迅速に対応する必要があります。
端末のOSやソフトウェアなどのバージョンを最新の状態に保つ管理を、従業員一人ひとりに任せるという運用は避けたほうがいいでしょう。従業員によってはバージョンアップの対応を忘れてしまうことが想定され、一部の端末において脆弱性を放置してしまうという状況が発生しがちです。
アップデートがあると自動的に通知してくれるIT管理ツールもあるため、こうしたツールを使って、全端末のアップデートをシステム管理者が一元管理すれば、適切なバージョン管理が可能になります。
脆弱性対策の最新情報の把握
ソフトウェアなどの脆弱性は日々見つかり、対策が施されています。脆弱性対策をする上で最新情報を把握しておきたいのは、次のような情報です。
- 把握しておきたい脆弱性対策情報
-
- 新たに発見されたサイバー攻撃の手口と被害事例
- 使用しているOSやソフトウェアの脆弱性に関するメーカーからの発表
- 最新のセキュリティソフトの製品情報 など
脆弱性対策に関する情報収集に役立つWebサイトとしては、独立行政法人情報処理推進機構(IPA)と一般社団法人JPCERTコーディネーションセンターが運営する「脆弱性データベース」や、使用しているソフトウェアなどの公式サイトが挙げられます。
脆弱性診断サービスの活用
脆弱性診断サービスとは、自社サービスやWebサイトなどにおいてスキャンや模擬攻撃を行って、セキュリティ上の弱点がないかを診断するサービスです。方法としては、専門のエンジニアによる手動診断や、診断ツール(クラウド型・ソフトウェア型)を用いた自動診断があります。
診断ツールの利用は短時間かつ低コストで実施でき、エンジニアによる手動診断は高い精度の診断が期待できます。
脆弱性対策に役立つIT管理ツールの選び方
パソコンだけでなく、スマートフォンやタブレットなど業務で使用する端末は様々で、利用するOSやソフトウェア、アプリケーションなども多岐にわたります。脆弱性対策においては、従業員の使用する全端末を適切に管理し、最新の脆弱性対策情報をリアルタイムで把握して対応していく必要がありますが、それをシステム管理者が手動で行うのは、あまり現実的ではありません。
そのため、従業員の全端末を一元管理できるIT管理ツールの導入は、脆弱性対策として効果的です。ここでは、IT管理ツールを選ぶ際にチェックしておきたいポイントを紹介します。
端末ごとのバージョン確認とアップデートが可能か
脆弱性対策の基本となるのは、OSやソフトウェアなどのアップデートに漏れなく迅速に対応できるかという点です。従業員の各端末のOSやソフトウェアが最新バージョンか、適用状況を一括で確認でき、必要に応じて管理者が更新できる機能が役に立ちます。
IT管理ツールの中には、ソフトウェア開発会社などのWebサイトを確認して、更新情報がある場合に自動的にソフトウェアをアップデートする機能や、定期的にアップデートを実施する機能など、様々な製品があります。IT管理ツールを選ぶ際には、自社で使用する端末の種類や数、管理方法にマッチした機能が搭載されているかをチェックするようにしましょう。
ソフトウェアの管理が可能か
業務内容の違いによって、従業員の使用する端末にインストールされているソフトウェアは異なります。端末ごとに導入されているソフトウェアを一覧で把握し、管理できる機能があるかどうかも、脆弱性対策のために確認すべきポイントです。
業務変更などにより不要になったソフトウェアは放置せず適切に廃却したり、ソフトウェアのインストールを制御したりするなど、適切な管理を行うことで脆弱性を放置せず、リスクを軽減することができます。
ウイルス対策ソフトの適用状況を一括管理できるか
端末に導入されているウイルス対策ソフトが最新バージョンかどうか、スキャンする項目が適切に保たれているかどうかを一括管理できる機能も、脆弱性対策に役立ちます。脆弱性を狙ったサイバー攻撃に対して、ウイルス対策ソフトは有効です。
しかし、最新バージョンでなかったり、端末によって適用状況にぶれがあったりすると、ソフト導入の効果が薄れてしまいます。IT管理ツールによって、管理者が各端末の状況を把握でき、随時更新できるようにしておくことで、脆弱性対策をより効果的にすることができます。
IT管理ツールの導入で脆弱性対策を強化しよう
テレワークの普及が進んだこともあり、ソフトウェアやシステムの脆弱性を狙ったサイバー攻撃は増加しています。IT管理ツールなどのツールを活用することで、システム管理者の負担を軽減しながら、脆弱性対策を進めることが可能です。
インターコムの「MaLion」シリーズは、各端末に対してのソフトウェアの配布やアップデートを管理者が一元管理することができ、端末ごとに導入しているソフトウェアを管理台帳で適切に管理できる機能も備えています。脆弱性対策を強化するために、IT資産管理のできる「MaLion」シリーズの導入をぜひご検討ください。
