サイバーセキュリティの脆弱性

投稿日: 投稿者:

拝啓 時下ますますご清栄のこととお慶び申し上げます。

今日、国家を標的としたサイバー攻撃のニュースは後を絶ちません。今まではホームページの改ざんという「愉快犯」の攻撃でありましたが、今では国家を混乱に招く恐れがある攻撃に変化をしてきています。最近では米大統領選の最中に行われたロシアのトロール部隊によるインターネットの世論操作があります。世界的に国家間でのサイバー攻撃が行われていることがわかります。

日本においては「サイバーセキュリティ基本法」が制定されて3年になりますが、IoT、スマートメーター、コネクテッドカーと様々なものがインターネットに接続され、さらに便利な生活環境になる一方でサイバー攻撃は日増しに増加の一途をたどっています。サイバー空間における、情報セキュリティ対策は急務になっています。

当社ではサイバー攻撃の急所である「脆弱性」に関して2017年2月現在までにJVN/NVD(*1)にて公開された脆弱性を調査、分析しました。その結果を記します。

サイバー攻撃からシステムを守る。守りの第一歩は、弱点の克服です。コンピュータシステムやプログラムの弱点は脆弱性と呼ばれます。脆弱性によっては、自社システムへの影響に留まらず他の組織に対する攻撃の踏み台など、攻撃に加担する事にも繋がります。今日、インターネットは我々の生活に溶け込み、ライフラインの一部として、重要な生活基盤になっています。その為、脆弱性への対応を進める事は社会的にも必要と考えています。

当社が調査した過去の脆弱性の推移を見ると、約50%の脆弱性が情報システムへ重大な影響を与える恐れがある脆弱性でした。

(*1)JVN (Japan Vulnerability Notes) :日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供し、情報セキュリティ対策に資することを目的とする脆弱性対策情報ポータルサイト。(https://jvn.jp/)

NVD(National Vulnerability Database): アメリカ国立標準技術研究所(National Institute of Standards and Technology、通称NIST) が管理している脆弱性情報データベース。(https://nvd.nist.gov/)

JVNにて公開された脆弱性の状況

JVNにて公開された脆弱性の件数はこの数年5,000件から6,000件の間を推移していますが(図1)、セキュリティリスクが緊急(Critical)な脆弱性は増加の傾向にあり2016年には20%を超える状況になっています。(図2)

fig1

(図1 JVNにて公開された脆弱性の件数)

fig2

(図2 JVNにて公開された脆弱性のセキュリティリスクレベルの割合)

セキュリティリスクが緊急(Critical)な脆弱性

セキュリティリスクが緊急(Critical)な脆弱性では SQL Injection(*2)に関するものが圧倒的に多くなっています。

fig3

(図3 JVNにて公開されたセキュリティリスクレベルがCriticalな脆弱性)

(*2)アプリケーションのセキュリティ上の不備を意図的に利用し、アプリケーションが想定しないSQL文を実行させることにより、データベースシステムを不正に操作する攻撃方法のこと。また、その攻撃を可能とする脆弱性。

NVDにて公開された脆弱性の状況

この数年は6,000件前後で推移しています。

fig4

(図4 NVDにて公開された脆弱性の件数)

近年、セキュリティリスクが高(High)な脆弱性は4割に迫る勢いで増えています。

fig5

(図5 NVDにて公開された脆弱性のセキュリティリスクレベルの割合)

SQL Injectionに対する対策

当社ではSQL Injectionによる攻撃を完全に防御するParnaWallを開発し提供しています。

Parnawall(パルナウォール)の推奨

「ParnaWall(パルナウォール)」は、Webアプリケーションの攻撃による情報漏えいで最も多い攻撃である「SQLインジェクション」を検知、防御するクラウド対応型データベースファイアウォールです。

従来のWAF(Web Application Firewall)では防ぎきれなかった攻撃に対応する画期的なソリューションで簡単に導入が出来ます。

詳しくはこちらをご覧下さい。http://www.parnawall.jp/

当社は、インターネット及びITを使ったお客様の”Benefit”(利益)と”Value”(価値)を保護し、より一層の飛躍を”Creative”(創造)することをサポート致します。

【解釈】
●サイバー攻撃
コンピューターネットワーク上で、特定の国家機関や国際機関,企業などに対して行われるインターネット経由での破壊活動、クラッキング行為。国境を越えて攻撃するサイバーテロも増加している。手法としては

  1. コンピューターウイルスやスパムの大量送信。
  2. ネットワークへの不正侵入と破壊。
  3. ウェブサイトの改ざん等。

●脆弱性(ぜいじゃくせい)

  1. もろくて弱い性質。
  2. コンピューターネットワーク上における安全上の欠陥や弱点。
  3. 外部からの不正アクセスに対してのプログラムの欠陥。ソフトウェアやハードウェアのバグによってできるセキュリティホールが代表的なものだが、機密情報・重要情報に対する管理体制の甘さも一種の脆弱性と考えられる。