サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

OSやソフトに脆弱性!?自分でできる3つの情報漏洩対策とは



コンピュータの世界における脆弱性とは、コンピュータのOSやソフトウェアのプログラム内のバグや欠陥により、他者がアクセスできるようになるなどの欠陥が存在することを言います。

この脆弱性は、WindowsやLinuxなど世界的に企業や家庭で多く利用されているOSやMicrosoft Officeなどのビジネスソフトウェアにも例外なく発見されています。

脆弱性の問題点とは?

この脆弱性がなぜ問題なのでしょうか。

コンピュータのプログラムに存在するこういった脆弱性はハッカーの不正アクセスに利用されたり、マルウェアやスパイウェアなどのコンピュータウィルスに対する感染の足がかりにされたりするのです。また、Webサイトの不正アクセスや改ざんなどもこれに起因する問題です。

不正アクセスや、コンピュータウィルスの目的のかなりの部分を占めるのが情報の取得です。スパイウェアなどでは、コンピュータ上にあるファイルや情報を意図的に外部に送信したりするものも多くあります。

つまり、こういった不正アクセスを受けたり、コンピュータウィルスに感染したりということは、様々な情報の漏洩につながる可能性が非常に高くなるということなのです。

WEBセキュリティ診断くん


URLhttps://cybersecurity-jp.com/shindan/

「WEBセキュリティ診断くん」は、Webアプリケーションに存在する脆弱性を診断するツールで、無料でWEBサイトに存在する脆弱性の数を把握することが可能です。
また、実際に脆弱性に対してどのような対策を行えば良いかは、月額10,000円からの少額で診断結果を確認することが可能です。

まずは無料で脆弱性の数を診断してみてはいかがでしょうか?

 

脆弱性による情報漏洩の事例

Identity theft on the web with credit cards and social security

こういった脆弱性による情報漏洩事件としては、例えば2011年4月に発生したソニーのPlaystation Networkによる7700万件もの個人情報が流出した事件があります。

この事件では、当該個人情報を管理するサーバに脆弱性に関する問題があったにもかかわらず、これに対して対処が出来ていなかったため、外部からの不正アクセスを許し、その結果、多くの情報が流出してしまったというものです。

これに対して情報を流出させてしまったソニー側は、個人情報1件あたり最大100万ドルの補償を行う結果となりました。このように脆弱性からくる問題事例は過去にも発生しており、大きな問題となり当事者企業に大きな損害を与える結果となっています。

情報漏洩が企業へもたらすもの

こういった脆弱性の問題に起因する情報漏洩について言えることは「被害者は加害者である」ということです。どういうことかというと、Webサイトへの改ざんややコンピュータウィルスの感染により情報漏洩を引き起こしてしまった企業は、「改ざんされた」あるいは「感染してしまった」という一面では、「被害者」と言えます。

しかし、顧客情報など重要な情報を漏洩してしまった以上、情報を漏洩されてしまった被害者から見ると「加害者」としての側面も持つのです。そのため、改ざんや感染の被害を受けたにも関わらず、情報の漏洩に対して信頼の失墜や、裁判により巨額の賠償を請求される例が後を絶ちません。

例えば2013年の米国の大手スーパーTargetでのカード情報漏洩では、4000万件のクレジットカードの情報が漏洩した結果、最大36億ドルの賠償金が支払われることとなりました。

脆弱性による被害を受けないための3つの初期対策とは?

もちろん、ソフトウェアベンダー側もこの現状に手をこまねいているわけではなく、脆弱性や不具合が発見され次第、修正プログラムやパッチを提供し、更新を行うようにアナウンスをしています。

また、シマンテック社やトレンドマイクロ社などの大手のセキュリティベンダーは各社が扱うセキュリティ対策ソフトウェアにて、これらの脆弱性や不具合を利用して不正なアクセスや情報取得、プログラムの改ざんを行うようなコンピュータウィルス等の探索を行うとともに発見次第、各対策ソフトウェアで駆除するとともに情報周知を広く行っています。私たち利用者の側が行える対策は、従って次の通りとなります。

  1. 更新プログラムをこまめに適用する
  2. セキュリティ対策ソフトウェアを導入する
  3. 怪しいウェブサイトを閲覧しない、怪しいプログラムをインストールしない

上記に加えて、ゼロデイ攻撃と呼ばれるのですが、ある脆弱性が発見されてから、OSやソフトウェアのベンダー、あるいはセキュリティ対策ソフトウェアのベンダーが対策を行うまでに、その脆弱性を利用して不正アクセス等を行うものがあります。これについては、これをやれば確実に大丈夫という対策はありません。

おわりに

コンピュータプログラムの脆弱性と、それによってもたらされるWebサイト等の脆弱性の問題、そしてそれに伴って発生する不正アクセスや、情報漏洩といった問題は、これをやったから必ず解決するというものではありません。

新たな脆弱性が発見されれば、それを利用し不正を働く者がいる、まさにいたちごっことも言えるでしょう。しかし、その中で、我々に出来ることは、先に掲げた3つの事柄であり、それを確実に実行することでリスクは最小限に減らすことが出来ます。


書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。