2011年11月に翔泳社より刊行された『情報化白書 2012』(一般財団法人日本情報経済社会推進協会編)は、IT業界の現状を俯瞰することを目的として、最新トピックスからITに関連した法制度などに至る広範な記事を掲載している。このコーナーでは、『情報化白書 2012』の編纂に合わせて行われた調査報告などからまとめたレポートを紹介していく。その第2弾として、『情報化白書 2012』の記事から「コンピュータおよびサーバーのセキュリティ」を3回にわたって掲載する。
ここでは、はじめになぜコンピュータおよびサーバーのセキュリティが必要であるかを記述する。
システムのセキュリティを検討するうえでは、守るべき情報資産を決定し、その資産の所在を考える必要がある。また、一般に情報資産は、中間ノードもしくはエンドノードに接続するコンピュータに蓄積することが多い。しかし、コンピュータ上で動作するソフトウェアには不具合が存在することがある。そのような場合、守るべき情報資産が脅威にさらされ、その資産が保護されない状態になる可能性がある。
上記のような状態を回避するためには、開発者および利用者が、適切なセキュリティ対策を実施しなければならない。ここでは特に「サーバーコンピュータを含むコンピュータ」に焦点を当てて、現状を述べる。
1 コンピュータの脆弱性管理
1.1 脆弱性とは
脆弱性とは、ソフトウェア製品やアプリケーション等におけるセキュリティ上の問題箇所である。システムが、脆弱性を利用した攻撃を受けた場合、システム停止やシステム内のデータの不正な参照などが引き起こされる可能性がある。脆弱性は、システム内のあらゆる部分に存在する可能性がある。以下に、脆弱性が存在する可能性のある部分を例示する。
脆弱性が存在する可能性がある部分の例
(1) システム基盤(例:OSやDBMSを始めとする各種サーバーソフトウェア)
(2) アプリケーションソフトウェア(例:業務システムを構成するソフトウェア)
(3) システムを構成する装置の制御用ソフトウェア(例:ネットワーク機器のファームウェア)
1.2 システム基盤の脆弱性に起因するインシデントの発生件数
「2010年情報セキュリティインシデントに関する調査報告書~個人情報漏えい編~」(特定非営利活動法人日本ネットワークセキュリティ協会)に記載されている、個人情報漏えいの原因別件数とその比率を図表1に示す。この中で、個人情報漏えいのインシデントのうち、システム基盤の脆弱性に起因するものの割合は、1.5%と小さい値で抑えられている。
このような結果が示されている理由としては、各企業がセキュリティ対策として、ファイアウォール、侵入検知システム(IDS)や統合脅威管理(UTM)などの監視/防御装置を積極的に導入しており、サービスを提供するコンピュータを、インターネットなど不特定多数が触る環境に、直接置かないようにしていることが考えられる。
この記事は参考になりましたか?
- 「情報化白書」ITレポート連載記事一覧
- この記事の著者
-
宮本久仁男(ミヤモトクニオ)
1991年4月、株式会社NTTデータ入社。研究開発部門と事業部門を渡り歩き、現在は技術開発本部 セキュリティ技術センタに勤務。NTTDATA-CERTのメンバとしても活動。
2011年3月、情報セキュリティ大学院大学 博士後期課程修了。博士(情報学)。
日々の業務を遂行する傍らで、セキュ...※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
-
重田真義(シゲタマサヨシ)
2009年4月、株式会社NTTデータ入社。
入社以来、同社が提供するシステムのセキュリティ設計業務及びセキュリティ技術の研究開発業務に従事しており、現在は技術開発本部 セキュリティ技術センタに勤務。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
