ネットワーク・セキュリティー講座
第7回 「セキュリティーホール」
インターネットの「安心・安全」のためにセキュリティーホール対策を
(2006/2/20)
日々、新たに発見されているセキュリティーホール
「セキュリティーホール」とは、ソフトウェアやシステムにおいてプログラムの不具合や設計上のミスなどによって生じた情報セキュリティー上の脆弱性のことです。ソフトウェアやシステムの安全性における欠陥といえます。セキュリティーホールは、Windowsなどの基本ソフト(OS)、インターネットを閲覧するためのInternet Explorerなどのブラウザソフトをはじめ、さまざまなソフトウェアやシステムに存在し、しかも、日々、新たなセキュリティーホールが発見されています。
セキュリティーホールは、会社や自宅で使っているパソコンにも、インターネット上で公開されているサーバーにも、どちらにも存在する可能性があります。とりわけ、インターネットに公開されているサーバーにセキュリティーホールが存在した場合、そこからクラッカーなどの悪意のある第三者がサーバーに「不正に侵入」し、サーバーに登録されている多くのホームページの内容を書き換えてしまったり、サーバーが管理している個人情報などの重要な情報を盗み出してしまうといった危険性があるのです。また、そのサーバーにアクセスしてきた利用者にウイルスを届けるといったウイルス発信元になる可能性もあるのです。そのためセキュリティーホール対策は重要なのです。
放置しておくとウイルスやスパイウェアに侵入される
もちろん、個人においてもセキュリティーホールの対策はとても大切です。現在では、ブロードバンドの利用者の拡大、常時接続環境が広く一般家庭でも普及したことで、自宅で利用するパソコンも常にインターネットに接続されている状態にあります。たとえば、自宅で使っているパソコンの基本ソフトにセキュリティーホールが発見された場合、何の対策もせずにそのまま放置しておくと、インターネット経由でクラッカーなどが、そのセキュリティーホールからパソコンの中に「侵入」してくる危険性もあります。そして、パソコンの中に保存されているクレジットカード番号の情報など重要な情報が盗み出されてしまう・・・。そんなリスクも潜んでいるのです。とくに最近では、WindowsやInternet Explorerなどのセキュリティーホールを突いて、ワームやコンピュータウイルス、スパイウェアをパソコンに仕込もうとする攻撃が増えてきています。個人でのセキュリティーホールへの対策こそ不可欠といえるのです。
個人の責任でセキュリティー対策を実行する意識を
それでは、セキュリティーホールを塞ぐには具体的にどうすればいいのでしょうか。通常、ソフトウェアにセキュリティーホールが発見された場合、そのソフトウェアを提供しているベンダーやメーカーからは修正プログラムが無償で提供されます。この修正プログラムを「セキュリティーパッチ」と呼びます。このセキュリティーパッチは通常、ベンダーやメーカーのホームページからインターネット経由でダウンロードできます。利用者は、自分自身でセキュリティーパッチをダウンロードし、インストールすることでセキュリティーホールの対策をとることになります。この作業を一般的に「パッチを当てる」といいます。
さて、パソコンやインターネット利用者の多くが、そのリスクに直面しているWindowsのセキュリティーホール対策としては、マイクロソフトのホームページで「Windows Update」を実行することで、修正プログラムを当てることが可能です。Windows XP SP2には「セキュリティーセンター」という機能があり、そこにはWindows Updateを自動で実行してくれる「自動更新」機能があります。それを利用することをお勧めします。また、日本における総合的な情報セキュリティー対策を推進している「独立行政法人 情報処理推進機構(IPA)」のホームページには最新のセキュリティーホールとその対策の情報が随時掲載されていますので、それを参考にするのもいいでしょう。
セキュリティーホールへの対策は基本的には個人がその対策の重要を認識したうえで自分の責任で実行するものです。利用者は個人の責任においてセキュリティーに関する最新情報を素早く入手し、適確に対応していくことが安全にインターネットやパソコンを利用するための大前提となっているのです。
