サイエンス・ハブ

脆弱性 (IT)について詳しく解説

by

Science-Hub
in

導入

コンピュータ セキュリティの分野では、脆弱性とは、攻撃者がシステムの完全性、つまりシステムに含まれるデータの通常の動作、機密性、セキュリティを損なうことを可能にするコンピュータ システムの弱点のことです。コンピュータのセキュリティ侵害についても話します。

これらの脆弱性は、システムのハードウェアまたはソフトウェアコンポーネントの設計、実装、または使用における弱点の結果ですが、一般的にはソフトウェアのバグが悪用されたものです。これらのソフトウェアの誤動作は通常、発見され次第修正されるため、ソフトウェア ベンダーが提供するパッチを適用してソフトウェアを最新の状態に保つことが重要です。

ソフトウェアの欠陥を悪用する手順が公的に文書化され、エクスプロイトと呼ばれる小さなソフトウェアの形で使用できる場合があります。

脆弱性 (IT)について詳しく解説

原因

コンピュータの脆弱性は、プログラマの過失や経験不足によって生じることがよくあります。他のコンテキスト関連の原因がある可能性があります。通常、この脆弱性により、攻撃者は、アクセス制御チェックをバイパスしたり、アプリケーションをホストするシステム上でコマンドを実行したりすることによって、アプリケーションを騙すことができます。

ユーザーの入力が制御されない場合にいくつかの脆弱性が発生し、SQL コマンドまたはクエリ (SQLインジェクションと呼ばれる) の実行が可能になります。他には、データ バッファーをチェックする際のプログラマー エラー (バッファーを超える可能性がある) が原因で発生し、 メモリスタックの破損が引き起こされます (その結果、攻撃者が提供したコードの実行が可能になります)。

脆弱性の特定と修復

情報システムの脆弱性の発見を容易にするツールは数多くあり、その中には脆弱性を削除できるものもあります。ただし、これらのツールは監査人に潜在的に存在する脆弱性の概要を提供することはできますが、人間の判断に代わることはできません。自動脆弱性スキャナーのみに依存すると、多くの誤検知が発生し、システム内に存在する問題の見方が限定されてしまいます。

脆弱性はすべての主要なオペレーティング システムで発見されており、とりわけWindowsだけでなく、 Mac OSUnixおよびLinuxのさまざまなバージョン、OpenVMS などでも発見されています。脆弱性が悪用される可能性を減らす唯一の方法は、システムのメンテナンスを開発し (セキュリティ パッチを適用するなど)、安全なアーキテクチャを展開し (セキュリティ ファイア慎重に配置するなど)、アクセスを制御し、常に警戒を続けることです。セキュリティ監査を実装します (開発中とライフサイクル中の両方)。

脆弱性の公表

掲載方法

脆弱性を公開する方法は、情報システム セキュリティ コミュニティ内で議論の対象となっています。脆弱性が発見され次第、直ちにすべての情報を公開する(完全開示)必要があると主張する人もいます。また、最初は重要なニーズがあるユーザーのみに公開を制限し、その後、必要に応じて一定期間を経て詳細を公開する方がよいと主張する人もいます。

このような遅延により、ユーザーは必要なセキュリティ パッチを開発して適用することで脆弱性を修正する時間を確保できる可能性がありますが、その情報を持たないユーザーにとってはリスクが増大する可能性もあります。ソフトウェア会社は、このリリース方法を責任ある開示と呼び、セキュリティ研究者にこの方法の使用を奨励しています。理論的には、これらの期限により、発行者はソフトウェアとユーザーを保護するために必要なパッチをリリースできますが、実際には、これによって脆弱性の修正が強制されるわけではありません。エクスプロイトが公開されない限り、特定の脆弱性が何か月もパッチされないままになっていた可能性があります。

出版日と出典

公開日は、公開された情報が次の条件に従っているメディアに脆弱性が記載された最初の日です。

  • 情報は自由に公開されており、
  • 脆弱性情報は独立した信頼できる情報源によって公開されており、
  • この脆弱性は、特に暴露リスクの推定に関して、専門家による分析の対象となりました。

セキュリティの観点から見ると、すべての関係者が適切な情報を確実に入手できるのは、オープンアクセスで包括的な出版物だけです。曖昧さによるセキュリティは、これまで機能したことのない概念です。

出版物の情報源は、出版社、販売者、または政府から独立している必要があります。公正かつ重要な情報の普及を可能にするためには、公平でなければなりません。業界で広く受け入れられている情報システム セキュリティのソースであるメディアは、信頼されているとみなされます (例: CERT、CESTI、Securityfocus、Secunia)。

リスク分析と推定により、明らかにされる情報の品質が保証されます。したがって、メーリング リスト内の潜在的な欠陥についての 1 回の議論やベンダーからのあいまいな情報では、脆弱性を認定することはできません。分析には、影響を受けるユーザーが個々のリスクを自己評価したり、身を守るために直ちに行動をとったりできるように、十分な詳細が含まれている必要があります。

参照

脆弱性が公開されると、MITER はそれに CVE識別子を割り当てます。この識別子により、複数の情報源間での横断検索が可能になります。

参考資料

  1. نقطة ضعف (حوسبة) – arabe
  2. Boşluq (informatika) – azerbaïdjanais
  3. Уязвимост (компютри) – bulgare
  4. আক্রান্তপ্রবণতা (কম্পিউটিং) – bengali
  5. Vulnerabilitat (informàtica) – catalan
  6. ئەنگاوتنیبوون – sorani

脆弱性 (IT)について詳しく解説・関連動画

サイエンス・ハブ

知識の扉を開け、世界を変える。

science-hub.click @2024 all rights reserved