セキュリティ脆弱性とは何か?
セキュリティの脆弱性とは、ITリソースに存在する弱点、欠陥、エラーのことで、攻撃される可能性を残すものです。このような脆弱性には様々な形態がありますが、典型的な結果として、攻撃者がシステムやネットワークにアクセスするために悪用できる手段が残されています。脅威者はこのアクセスを利用して資産をさらに侵害し、貴重な個人データを盗むことが可能になる可能性があります。
少なくともいくつかの脆弱性を回避することはほとんど不可能だが、悪用される前にそれを認識し、問題を迅速に修正することは、強固なサイバーセキュリティを維持する上で極めて重要なことである。
セキュリティ脆弱性の原因
セキュリティの脆弱性には、幅広い原因があります。例えば、ソフトウエアのコードベースに間違いがあるかもしれませんし、アプリケーションが検証されていないかもしれませんし、アクセス制御が誤って設定されているかもしれません。
オープン・ウェブ・アプリケーション・セキュリティ・プロジェクト(OWASP)によると、ウェブ・アプリケーションにおける最も一般的な脆弱性はアクセス制御の失敗であり、次いで暗号の失敗、3位はクロスサイト・スクリプティングを含むインジェクション・ホールであった。シノプシスが2021年に発表したレポートでは、コードベースの84%が少なくとも1つのオープンソースの脆弱性を含んでいることが明らかになった。
脆弱性が存在することは問題ではないが、それを素早く認識し緩和することができなければ、ユーザーやネットワークが悪用、被害、盗難にさらされることになる。
4種類のセキュリティ脆弱性
1.悪意のあるコード
2.設定ミス
3.コーディングの欠陥
4.暗号化の欠落
他にも多くの脆弱性がある。例えば、組織内部の人間が脅威となる可能性がある。フォレスターによると、2021年のセキュリティ侵害の3件に1件はこのカテゴリーに属する。ゼロ・トラストの未実施など、認証が不十分な可能性もある。監視とロギングの欠如は、被害を防ぐのに十分な時間内に侵害を発見できない可能性を組織に残す。クラウド時代には、クラウドサービスの共有テナントによる脆弱性もあり、あるテナントの侵害が他のテナントに伝播する可能性がある。
脆弱性は常に拡大し、変化している。脅威を先取りする積極的なアプローチが不可欠である。
セキュリティの脆弱性とエクスプロイト
セキュリティの脆弱性とは、攻撃の可能性のことである。対照的に、エクスプロイトとは、そのような攻撃が実行される方法のことで、通常は脆弱性を利用するように設計されたコードやコマンド列の一部である。ハッカー自身がエクスプロイトを作成するためのオープンソースのキットもある。
脆弱性は問題だが、それが悪用される前に修正されれば、組織はサイバー攻撃の可能性を回避できる。脆弱性が悪用されると、問題が始まる。
よくあるご質問
CVEとは何の略ですか?
CVEはCommon Vulnerabilities and Exposuresの略。このシステムは、The MITRE CorporationのNational Cybersecurity Federally Funded Research and Development Center (NCFFRD)によって管理されている情報セキュリティの脆弱性を指します。CVEは、組織がサイバーセキュリティを向上させるための標準的な分類と識別辞書を可能にする。CVEには、脆弱性の影響を評価するための0.0から10.0までの共通脆弱性採点システム(CVSS)が含まれており、数値が高いほど深刻度が高いことを意味する。
CWEとは?
CWEはCommon Weakness Enumerationの略。CVEと関連しており、同じくMITRE Corporationによって管理されている。CWEは、ハードウェアやソフトウェアの弱点や脆弱性を分類するシステムである。CWEが列挙する脆弱性を特定し、修正し、防ぐことができるSOAR(Security Orchestration, Automation, and Response)ツールのような自動化システムを構築することを目的としている。CWEが管理するリストには600以上のカテゴリがあり、各項目は通常、説明、例、関連するCVEや類似の脆弱性など、十分に文書化されています。