毎日のように報告される、ソフトウエアやWebサイトの「脆弱性」。脆弱性がセキュリティ上の問題であることはよく知られている。だが、「脆弱性があると、どのような危険性があるのか」「脆弱性はどのようにして悪用されるのか」「ベンダーは手をこまねいているだけなのか」など、疑問は尽きない。ITインフラ技術者にとって、脆弱性に関する正しい知識は不可欠。多くの人が抱いている疑問に答えよう。
6つのポイントを徹底図解「脆弱性 解体新書」
目次
-
脆弱性があっても被害を防ぐ「DEP」「ASLR」を巡る攻防
脆弱性が見つかっても、影響を最小限に抑える機能の実装も進んでいる。その1つが「データ実行防止(DEP)」だ。危険な脆弱性の代表例であるバッファーオーバーフローを悪用する攻撃を防ぐ。例えばWindowsでは、Windows XP SP2から実装されている。
-
パッチや定義ファイルをいかに早く作り、迅速に提供するか
ベンダー各社は、迅速な修正プログラム(パッチ)提供にも力を入れている。新しい脆弱性が報告されればすぐに解析し、脆弱性を修正するためのパッチや修正版(アップデート)を作成して公開する。大手ベンダーの多くは、そのためのセキュリティ専門チームを用意している。
-
「ファジング」「報奨金」――、脆弱性を見つける方法はこんなにある
ベンダー(開発者)や攻撃者はどうやって脆弱性を見つけているのか。代表的なのは、「ファジング(fuzzing)」と呼ばれる手法だ。調査対象のソフトウエアに、「ファザー」と呼ばれるツールを使って様々なデータを入力し、その応答から脆弱性を探し出す。
-
脆弱性を生じさせない開発体制をいかに整えるか、ベンダーの実態は
ソフトウエアに脆弱性があると、深刻な被害を招く恐れがある。それに対して、ベンダーや開発者は手をこまねいているわけではない。様々な対策を用意して、脆弱性の影響からユーザーを守ろうとしている。ベンダーなどが実施している、脆弱性対策の最新状況を紹介しよう。
-
脆弱性はどう悪用されるのか、代表的な手口を完全図解
攻撃者は工夫を凝らし、ソフトウエアの脆弱性を意のままに操ろうとしている。だが、ソフトウエアに脆弱性が存在しても、意図したように動作させるのは容易ではない。その手口は、脆弱性の種類によって様々だ。どのようなメカニズムで脆弱性は悪用されるのか。代表的な手口を取り上げ、その恐るべきメカニズムを図解する…
-
ソフトウエアのセキュリティ脆弱性を突かれると、どのような被害に遭うのか
「脆弱性」。一般的には「もろくて弱い性質」「傷つきやすい性質」といった意味だが、コンピュータやネットワークの分野では、「ソフトウエアのセキュリティ脆弱性」を指す場合が多い。では、ソフトウエアのセキュリティ脆弱性とは何か。定義は人によって様々だ。本特集では、「セキュリティの問題を引き起こす、ソフトウ…
日経クロステック Special
What's New
経営
- 「クラウド時代のあるべき運用」を熱く議論
- 大企業にもキントーンの導入が進む理由
- 製造業DX「データドリブン経営成功のシナリオとは」
- NTTドコモ支援の実践型教育プログラム
- ジェイテクトエレクトロニクスのDX事例
- DXを成功に導くITインフラとは?
- NTTデータに優秀なデジタル人財が集まる理由
- オリックス銀行×富士通時田社長 特別鼎談
- ERPプロジェクト≫IT人財の必須条件は
- 脱レガシー案件≫SIerに必要な人財像は
- イノベーションの起爆剤
- 3段階で考える、DXで企業力を高める方法
- 大規模プロジェクトでPMが注意すべき点は
- 大阪・名古屋エリアのDXが注目される理由
- 力点は「未来予測」へ:データ利活用の勘所
- 生成AI活用でSAP BTPの価値が進化
- ServiceNowでDXを加速≫方法は
- SAPプロジェクトの全体像をいかに描くか
- データドリブン基盤でCFP算出作業を短縮