] よく耳にする「脆弱性」って危険なの?SOHOや中小企業にも関係あるの? | SECURIE(セキュリエ)-BEST SECURITY FOR EVERYONE-

事例Use case

よく耳にする「脆弱性」って危険なの?SOHOや中小企業にも関係あるの?

2018.11.14

「脆弱性(ぜいじゃくせい)」とはそもそも一体何か?脆弱性についての初歩的な知識

情報セキュリティについて語られる際、よく「脆弱性」という言葉を耳にするかと思います。「脆弱性を突いて侵入された」「脆弱性を修正しないと危険」といった文脈で使われることが多いのですが、そもそもここでいう「脆弱性」とは、具体的に何を指すのでしょうか?

情報セキュリティにおける脆弱性とは、IT機器やアプリケーション、OSなどにプログラム上の不具合や設計ミスがあった場合、それが原因で生じるセキュリティ上の欠陥のことを指します。ソフトウェアに何らかの欠陥があった場合、それが原因でプログラムが本来想定していなかった挙動を示すことがあります。攻撃者はこれを悪用し、異常な挙動をわざと引き出すことで不正なプログラムを送り込んだり、不正な動作をさせたりするわけです。

soho_20181114_01.png

また、たとえソフトウェアの機能に欠陥がなくとも、その設定に不備があるために危険な状態にさらされているケースもあります。例えば誰でも推察できるような簡単なパスワードを設定していたり、通信を暗号化しないままデータをやりとりしていれば、攻撃者による不正ログインを許してしまったり、あるいは通信内容を盗聴されて情報漏えいを引き起こす可能性があります。

脆弱性はしばしば、「セキュリティホール」とも呼ばれます。その名の通り、まさにセキュリティ対策上の「穴」が開いてしまっている状態を指すのです。攻撃者は、常に攻撃対象のシステムに穴が開いていないかどうか観察しており、何らかの穴を見つけるや否や、そこをピンポイントで狙い撃ちしてきます。そのため企業は、自社で利用しているIT機器やソフトウェアにこうした穴が開いていないかどうかを常にチェックして、もし開いていれば迅速に塞ぐ必要があるのです。企業規模を問わず攻撃者は「穴」を狙ってきますので、「うちは平気だ」「うちは狙われない」などとは思わず、きちんと対策をしなくてはいけません。

soho_20181114_02.jpg

PCはもちろん、複合機やプリンターなどネットワークにつながるあらゆる機器が脆弱性を抱えている

では、脆弱性に起因するセキュリティリスクを回避するには、具体的にどのような対策を取ればいいのでしょうか? 大企業でよく行われているのが、「脆弱性診断」と呼ばれる対策です。これは、自社のシステムにどのような脆弱性が存在しているのか、セキュリティ企業に調査を依頼する方法です。具体的な調査方法としては、さまざま手法が存在するのですが、場合によってはセキュリティ企業が攻撃者に成り代わって、実際に対象企業のシステムに攻撃を仕掛けてみる「ペネトレーションテスト」などが行われることもあります。

しかしこうした調査は一般的にかなり大掛かりで、高額な費用が掛かるため、SOHOや中小企業ではめったに行われません。ではSOHOや中小企業では、一体どのようにして脆弱性に対処すればいいのでしょうか?

PCで利用されるOSやアプリケーションに関しては、最新のセキュリティパッチを常に適用するよう気を付けていれば基本的な対策は可能でしょう。またパスワードに関しても、ある程度複雑なものを使い、かつ定期的に変更していれば、そうそうセキュリティホールは生じません。しかし、ITやセキュリティの専門要員がいないSOHOや中小企業では、こうした作業はついつい後回しにされがちで、結果的に穴だらけのPCが社内に蔓延することも珍しくありません。

またPC以上に危険なのが、ネットワークにつないで利用される複合機やWebカメラ、ルーターといったオフィス機器類です。実はこれらの機器にも、管理者アカウントのパスワードがデフォルト設定のままだったり、あるいは不正な通信のために悪用されかねないバックドアが開いていたりと、さまざまな穴が空いていることが多いのです。

soho_20181114_03.jpg

しかも、PCの場合は先ほど挙げたように穴を検知して塞ぐための対策法が明確に存在しているのですが、オフィス機器類に関してはそうした対策をユーザー自身が講じることが事実上不可能なのです。正確にいえば、穴を塞ぐことは技術的には可能なのですが、そのためには専門的なスキルが必要なため、一般ユーザーがこれを行うのは極めて難しいでしょう。

SOHOや中小企業向けの安価かつ手軽な脆弱性診断を可能にする「SECURIE」

SOHOや中小企業が抱えるこうした課題を解決するためにBBソフトサービスが提供しているのが、「SECURIE」と呼ばれるセキュリティサービスです。これは、SOHOや中小企業のオフィスに専用ルーター装置「Bitdefender BOX 」を1台設置するだけで、ネットワークに接続されたすべての機器のセキュリティ対策を一括して行ってくれるというものです。アンチウイルスや不正アクセス防止、通信の暗号化(VPN)など、さまざまなセキュリティ機能がまとめて提供されますが、その中に実は脆弱性診断の機能も含まれているのです。

PCはもちろんのこと、オフィスのネットワークに接続された複合機、ルーター、Webカメラなど、ありとあらゆる機器の脆弱性を定期的にチェックし、もしパスワードの強度が低かったり、ファームウェアのバージョンが古かったり、バックドアが仕掛けられているといった脆弱性が見つかった場合は、その旨を自動的に通知するとともに、その対処法まであわせて提示してくれます。

またオフィス機器だけでなく、ゲーム機やスマートTV、スマート家電など、ネットワークに接続されるすべての機器の脆弱性をチェックできますから、自宅と仕事場を兼用しているようなSOHOオフィスにおいても重宝するはずです。

先にも述べた通り、脆弱性のチェック、特にPC以外の機器も含めた脆弱性の診断と対策を行うには、専門家の手を借りなければ事実上不可能ですが、「SECURIE」ならコストも手間も掛けることなく、中小企業やSOHOでも手軽に脆弱性診断を行うことができます。ちなみにSOHO向け「SECURIE」の価格は、年額37,000円(税抜)(10名までのオフィス)と、極めて安価に抑えられています。導入もユーザー自身で簡単に行うことができますので、もし今まで脆弱性診断を一度も行ったことがないのであれば、これを機にぜひ「SECURIE」を導入して、自社のシステムにどれだけの穴が開いているのかチェックしてみることをお勧めします。

securie-soho.png