インターネットのWebサイトを見ていると,よく「Windowsに重大なセキュリティ・ホールが見つかりました」というニュースを目にします。このあとには,たいてい「Windows Update(ウインドウズアップデート)で修正プログラムの適用を忘れずに…」と続きます。これだけを見ると,セキュリティ・ホールとはソフトウエアのバグ(欠陥)のように思えます。そう言い切って良いのでしょうか。
設定ミスやパスワードの管理ミスもある
たしかに,ソフトウエアのバグもセキュリティ・ホールの一つとなり得ます。
ソフトウエアや機器の開発者は,バグがないように製品を作って出荷します。しかし,開発時にすべてのバグをチェックしきれずに,製品を出荷したあとにバグが発覚することがあります。このバグがユーザーのセキュリティを脅かすものだった場合,セキュリティ・ホールと呼ばれます。例えば,ソフトがユーザーの意図しない動作をしたり,パソコン内のファイルを不正に操作されたりするようなバグです。WindowsUpdateは,このようなプログラムのバグを修正します。
しかし,セキュリティ・ホールは,バグだけを指している言葉ではありません。セキュリティの弱点全般を指す言葉です。
まったくバグのないソフトウエアを使っていても,ユーザーが間違った設定や運用をしていたら,その運用自体がセキュリティ・ホールになります。ユーザーにとって必要のないWebサーバー・ソフトを起動している状態も,セキュリティの弱点になり得ます。見知らぬ第三者にアクセスされる危険性があるからです。
また,安易なユーザー名とパスワードの設定もセキュリティ・ホールと言えるでしょう。見知らぬ第三者がパスワードを推測することで,勝手にパソコンが使われる可能性があるからです。パソコンのディスプレイに,パスワードなどを書いた紙を貼っておくのも同様です。
このように,セキュリティ・ホールを指すものは,ソフトウエアのバグだけではありません。設定や管理・運用などもセキュリティ・ホールになり得るのです。
「ぜい弱性」との違いは?
そもそもホール(hole)という言葉には,「穴」という意味があります。「穴」という字が付く言葉には,「落とし穴」や「抜け穴」があります。
セキュリティ対策を講じるユーザー側から見ると,セキュリティ・ホールは,完璧に作ったはずのシステムに落とし穴があったように見えるでしょう。逆に,不正侵入する側にとってみれば,セキュリティの弱点は,ユーザー側の対策を突破するための抜け穴に見えます。セキュリティの弱点が,穴(ホール)に例えられるのはこのためです。
ただ冒頭の疑問にあるように,最近はセキュリティ・ホールと言うと,ソフトウエアのバグを指すことが多いようです。そのため,「セキュリティ・ホールはソフトウエアのバグのこと」というイメージが一般的になりつつあります。
そこで,セキュリティを脅かす可能性がある弱点全般のことを「ぜい弱性」と呼ぶこともあります。こちらの方が,設定面や運用面なども含んだセキュリティの弱点全般をイメージしやすいからでしょう。例えば,セキュリティ・ベンダーなどが実施しているサービスに,「ぜい弱性検査サービス」と呼ばれるサービスがあります。実際のサービス内容はさまざまですが,一般にはユーザーのネットワークに実際に不正侵入を試みたりして,ネットワーク上のソフトウエアや機器のバグや設定ミスを調査し,セキュリティの弱点を見つけ出します。
