SAYA160312500I9A3721_TP_V

Windows、iOS、Androidなどのパソコン/スマホ用OS(基本ソフト)は、メーカーにより定期的にセキュリティアップデートが行われます。それでは、なぜこのようなセキュリティアップデートが必要なのでしょうか? その理由は、これらのOSが脆弱性(ぜいじゃくせい)を持った状態でリリースされていて、悪意のある攻撃プログラムに狙われた場合に、セキュリティ上の問題を引き起こすからです。

OS以外に、PDFリーダー「Adobe Acrobat Reader DC」やWebブラウザのプラグインとして広く使われている「Adobe Flash Player」「Java 7」、その他のソフトウェアにもやはり脆弱性があります。これらも同様に、定期的にセキュリティアップデートが行われています。

一般にソフトウェアが脆弱性を持っているからといって、品質に問題があるとは限りません。実のところ、先に挙げたソフトウェアはいずれも非常に高品質にできており、かつ広く支持されています。

しかし皮肉なことに、ソフトウェアには広く使われれば使われるほど脆弱性が多く発見されるという性質があります。このことから、ソフトウェアの脆弱性は人気のあるソフトウェア(メーカー)には付き物であると考えられています。

ここでは、ソフトウェアの脆弱性についての基礎知識と、脆弱性についてどのように対策すればよいかについて説明していきます。ここで述べる内容を理解することにより、ソフトウェア脆弱性の知識をコンピューターシステムの管理作業に役立てることができます。さらに、ソフトウェアのセキュリティ強化に関する理解も深まります。

ソフトウェアの脆弱性とは何かを知る

ソフトウェアの脆弱性とは、セキュリティ上の問題となる不具合のことです。これらを放置しておくと、ネットワークに接続された別のコンピューターやUSBメモリーなどのファイルから攻撃を受けることになります。そして、ファイルから攻撃を受けることによってセキュリティ上の問題を引き起こす可能性があります。

セキュリティ上の問題」という言葉が出てきますが、初めのうちはなかなかわかりにくいかもしれません。これは、例えば「パソコン内部に保存されている個人情報が引き抜かれた」「個人的に閲覧していたWebサイトの閲覧履歴が外部に流出した」といったようにユーザーのプライバシーやシステムの安全性に関わる問題です。

セキュリティ上の問題は、ソフトウェアの機能上の問題とは異なります。むしろ、ユーザーが気づきにくく、普段なかなか思いもつかないようなところで発生し、かつ深刻な事態につながりかねないという特徴があります。

ソフトウェアの脆弱性対策は、「セキュリティパッチ」「セキュリティアップデート」などと呼ばれる修正プログラムをインストールすることで行います。セキュリティパッチは、インターネット経由でダウンロードするのが一般的です。

セキュリティパッチのインストールは、数が多くて時間がかかったりパソコンの再起動が必要になったりする場合が多いです。そのため、夜間などパソコンを使用しない時間帯にスケジュール実行するのも良いと思われます。

脆弱性対策を行ったら、その対策内容を公開する

あなたが、仕事で使うコンピューターをお客様に納める立場の人だったり、情報システム部門として会社にパソコンを配布する立場の人だったりしたとしましょう。その場合、納めるコンピューターの中に入っているソフトウェアの脆弱性対策を行うことは必須です。

それでは、ソフトウェアの脆弱性対策を行ったことをどのように示せばよいでしょうか? それには、対応済みの脆弱性対策(セキュリティパッチ)のリストを公開するのが最も確実です。セキュリティパッチには、固有のID番号が付けられています。対策済みのセキュリティパッチIDのリストを示すことで、そのパソコンの脆弱性の対応度合いを示すのです。

セキュリティパッチは、ソフトウェアメーカーにより時々刻々と更新されていきます。このことから、対策した時点でのセキュリティ状態が十分に強固だったとしても1ヶ月後、1年後、…と時間が経過するにつれて対策効果が低減していくことになります。そのため、現時点でのセキュリティ状態の指標を示す目的で、対策済みセキュリティパッチIDのリストを公開するのです。

このように、パソコンやタブレット、スマホに広く使われているソフトウェアについては、定期的に脆弱性対策を行うことが重要です。脆弱性対策を行ったならば、対策済みのセキュリティパッチIDを公開しましょう。そうすることによって、そのパソコンの脆弱性に対する対応度合いを示すことができます。