米SANS Instituteが公開する「The Twenty Most Critical Internet Security Vulnerabilities」バージョン6.0
米SANS Instituteが公開する「The Twenty Most Critical Internet Security Vulnerabilities」バージョン6.0
[画像のクリックで拡大表示]

 米SANS Instituteは米国時間11月22日,攻撃者に狙われることが多いシステムやセキュリティ・ホール(脆弱性)をリストアップした「The Twenty Most Critical Internet Security Vulnerabilities」を公開した。システム管理者やユーザーは同リストを参考に,自分が管理・利用しているシステムのセキュリティ・ホールがきちんとふさがれていることを確認しておきたい。

 SANS Instituteでは,2000年から同様のリストを公開し,毎年1回更新している。2000年には,危険なセキュリティ・ホールやシステムを10件リストアップした「TOP 10リスト」を公開したが,セキュリティ・ホールの数が増えたため,2001年からはWindowsシステムおよびUNIXシステムに関するセキュリティ・ホールをそれぞれ10件ずつリストアップした「TOP 20リスト」を公開している。

 今年で「バージョン6.0」となる同リストでは,「クロスプラットフォーム・アプリケーション」と「ネットワーク製品」の2分野を新たに追加。従来の「Windowsシステム」および「UNIXシステム」と合わせた4分野において,頻繁に悪用されるセキュリティ・ホールが存在するソフトウエア/機能を20件公表した。

◆Windowsシステム
(1)Windowsのサービス
(2)Internet Explorer
(3)Windowsのライブラリ
(4)Microsoft OfficeとOutlook Express
(5)Windowsの設定に関する弱点

◆クロスプラットフォーム・アプリケーション
(6)バックアップ・ソフト
(7)アンチウイルス・ソフト
(8)PHPアプリケーション
(9)データベース・ソフト
(10)ファイル共有アプリケーション
(11)DNSソフト
(12)動画/音声再生ソフト
(13)インスタント・メッセージング・ソフト
(14)MozillaおよびFirefox
(15)その他のクロスプラットフォーム・アプリケーション

◆UNIXシステム
(16)UNIXの設定に関する弱点
(17)Mac OS X

◆ネットワーク製品
(18)Cisco IOSおよびIOS以外の製品
(19)Juniper, CheckPointおよびSymantec製品
(20)Cisco製品の設定に関する弱点

 リストには,それぞれのシステムに存在する可能性があるセキュリティ・ホールやその対策方法が豊富なリファレンスとともにまとめられている。管理者はもちろん,ユーザーも目を通しておくことをお勧めする。

◎参考資料

The Twenty Most Critical Internet Security Vulnerabilities (Updated)