ここでは、はじめになぜコンピュータおよびサーバーのセキュリティが必要であるかを記述する。
システムのセキュリティを検討するうえでは、守るべき情報資産を決定し、その資産の所在を考える必要がある。また、一般に情報資産は、中間ノードもしくはエンドノードに接続するコンピュータに蓄積することが多い。しかし、コンピュータ上で動作するソフトウェアには不具合が存在することがある。そのような場合、守るべき情報資産が脅威にさらされ、その資産が保護されない状態になる可能性がある。
上記のような状態を回避するためには、開発者および利用者が、適切なセキュリティ対策を実施しなければならない。ここでは特に「サーバーコンピュータを含むコンピュータ」に焦点を当てて、現状を述べる。
1 コンピュータの脆弱性管理
1.1 脆弱性とは
脆弱性とは、ソフトウェア製品やアプリケーション等におけるセキュリティ上の問題箇所である。システムが、脆弱性を利用した攻撃を受けた場合、システム停止やシステム内のデータの不正な参照などが引き起こされる可能性がある。脆弱性は、システム内のあらゆる部分に存在する可能性がある。以下に、脆弱性が存在する可能性のある部分を例示する。
脆弱性が存在する可能性がある部分の例
(1) システム基盤(例:OSやDBMSを始めとする各種サーバーソフトウェア)
(2) アプリケーションソフトウェア(例:業務システムを構成するソフトウェア)
(3) システムを構成する装置の制御用ソフトウェア(例:ネットワーク機器のファームウェア)
1.2 システム基盤の脆弱性に起因するインシデントの発生件数
「2010年情報セキュリティインシデントに関する調査報告書~個人情報漏えい編~」(特定非営利活動法人日本ネットワークセキュリティ協会)に記載されている、個人情報漏えいの原因別件数とその比率を図表1に示す。この中で、個人情報漏えいのインシデントのうち、システム基盤の脆弱性に起因するものの割合は、1.5%と小さい値で抑えられている。
このような結果が示されている理由としては、各企業がセキュリティ対策として、ファイアウォール、侵入検知システム(IDS)や統合脅威管理(UTM)などの監視/防御装置を積極的に導入しており、サービスを提供するコンピュータを、インターネットなど不特定多数が触る環境に、直接置かないようにしていることが考えられる。
