2022.01.23 怖い話③「脆弱性、知っていますか?」
センター長の中村です。
①でもちょっと触れましたが、「脆弱性」知っていますか?
読むのも意味も難しい漢字ですが「ぜいじゃくせい」と読みます。
「脆弱」は、もろくて弱いことですが、「脆弱性」となるといわゆる「セキュリティホール」とほぼ同じ意味で、これだと何となく雰囲気はわかりますよね。
情報セキュリティの脅威に対し、ハードウェア、OS、ソフトウェア、様々な対策を講じていますが、そこに生じている「穴」のことです。
開発当初から存在し、利用している間に発見された「穴」もあるでしょうし、攻撃側の進化が「穴」をこじ開ける場合もあります。
いずれにしろ、この脆弱性をついてサイバー攻撃が仕掛けられます。
その結果、不正侵入、データ改ざん・暗号化・盗難・流出につながることになります。
この「穴」をふさぐために、OSやソフトウェア、ファームウェアのアップデートが行われるわけです。したがって、常に最新の状態に保つことがセキュリティ対策の基本原則となります。
但し、このアップデートが悪さをして正常に動作しているシステムに不具合が生じることがあるわけで、サポート担当者が振り回される原因の一つとなっていますね。
それでも、コンピュータを最新の状態で利用することがこの脆弱性に対処する最良の方法ということになります。
OSやソフトウェアは機能強化、性能向上を目的にバージョンアップを繰り返すわけですが、バージョンが増えれば増えるほど、「穴」を埋めるための範囲が広くなり対処しきれなくなります。
そして、「サポートを終了します」となるわけです。
身近なところでは、Windows7、Windows Server 2008は2020年1月にサポート終了済み。Internet Explorerは2022年6月、Windows Server 2012は2023年10月がサポート終了期限です。
1月23日の日本経済新聞は1面で、
「企業、老朽ソフト5割放置」「日本、ウィンドウズで3割」と見出しをつけて取り上げました。
記事によると日本はWindows通信機能の脆弱性放置が、世界全体の30%で台湾、ロシア、アメリカを上回り首位だそうです。
サイバー攻撃で情報漏洩などを起こした企業や組織は「悪意のない被害者」です。しかしこの「悪意のない被害者」が、脆弱性対策を含めた適切な情報セキュリティ対策をとっていないがために、悪意はなくても「加害者」になってしまい、社会的な責任が免れません。
日経新聞の記事ではさらに次のように書いています。
「4月施行の改正個人情報保護法では報告義務が課せられる。企業も取引先の情報管理を重視するようになっており、漏洩すれば取引を打ち切られる恐れがある。」
怖いですね。
情報セキュリティ対策に投資をしない理由に「業績向上に直結しない」と考える向きがあるそうですが、とんでもない。
企業、組織は基本となる情報セキュリティポリシー策定し、周知・教育することで企業価値を上げ、信用度を向上させることがこれからは必須になると考えます。
「怖いなー」と感じた方は、ぜひ相談してください。