前回の記事
ソフトウエアに脆弱性があると、深刻な被害を招く恐れがある。それに対して、ベンダーや開発者は手をこまねいているわけではない。様々な対策を用意して、脆弱性の影響からユーザーを守ろうとしている(図3-1)。
図3-1●ベンダーが実施している脆弱性対策の例
製品やWebサービスに脆弱性が含まれないようセキュアな開発体制を敷いている。さらに、脆弱性を迅速に発見および修正する体制も整えている。また、脆弱性が見つかった場合でも、それを悪用する攻撃を防ぐ機能を備える製品が増えている。
ベンダーなどが実施している、脆弱性対策の最新状況を紹介しよう。
何重もの対策を用意
ベンダー各社が第一に力を入れているのが、ソフトウエアに脆弱性を生じさせない「セキュアな開発体制」である。
とはいえ、ソフトウエアは「人」が作るものなので、脆弱性を100%排除するのは不可能だ。そこで、脆弱性の混入を前提とした対策も用意している。
その一つは「脆弱性の迅速な発見」。開発が終了してリリースされたソフトウエアは、攻撃者によって、脆弱性がないかどうか念入りに調べられる。ベンダー側でも検査し、攻撃者よりも早く、開発時にチェックできなかった脆弱性を探そうとする。
「脆弱性の迅速な修正」も重要な対策だ。リリース後に脆弱性が見つかったら、パッチ(修正プログラム)や修正版を迅速に提供する。
だが、これらを用意しても、ユーザーが利用してくれるとは限らない。パッチの適用やバージョンアップを自動的に実施する機能を備える製品が増えているのは、この対策の一つである。
ウイルス対策ソフトベンダーと連携し、脆弱性を悪用するウイルスを検出する定義ファイル(パターンファイル)を早期に提供できる仕組みを用意するベンダーも出てきている。
「脆弱性悪用攻撃対策の実装」に力を入れるベンダーも多い。脆弱性が見つかっても悪用できないようなセキュリティ機能を製品に実装する。脆弱性が見つかった場合に備えて、ソフトウエアの「守り」を固めているのである。
