毎日のように報告される、ソフトウエアやWebサイトの「脆弱性」。脆弱性がセキュリティ上の問題であることはよく知られている。だが、「脆弱性があると、どのような危険性があるのか」「脆弱性はどのようにして悪用されるのか」「ベンダーは手をこまねいているだけなのか」など、疑問は尽きない。ITインフラ技術者にとって、脆弱性に関する正しい知識は不可欠。多くの人が抱いている疑問に答えよう。
脆弱性 解体新書
6つのポイントを徹底図解
目次
-
Part6「機能」―脆弱性があっても被害を防ぐ
脆弱性が見つかっても、影響を最小限に抑える機能の実装も進んでいる。その1つが「データ実行防止(DEP)」だ。Part2で解説した、危険な脆弱性の代表例であるバッファーオーバーフローを悪用する攻撃を防ぐ。例えばWindowsでは、Windows XP SP2から実装されている。
-
Part5「修正」―パッチや定義ファイルを迅速に
システム停止を前提に考えると、スムーズな復旧が鍵になる。復旧を担当する運用チームがスムーズに作業できるよう、運用担当者は基本設計、詳細設計の段階でフローや支援ツールを準備しておく必要がある。
-
Part4「調査」―どうやって脆弱性を見つけるのか
ベンダー(開発者)や攻撃者はどうやって脆弱性を見つけているのか。代表的なのは、「ファジング(fuzzing)」と呼ばれる手法だ。調査対象のソフトウエアに、「ファザー」と呼ばれるツールを使って様々なデータを入力し、その応答から脆弱性を探し出す。
-
Part3「開発」―脆弱性を生じさせない体制
ソフトウエアに脆弱性があると、深刻な被害を招く恐れがある。それに対して、ベンダーや開発者は手をこまねいているわけではない。様々な対策を用意して、脆弱性の影響からユーザーを守ろうとしている。Part3からは、ベンダーなどが実施している脆弱性対策の最新状況を紹介しよう。
-
Part2 「手口」―代表的な手口を完全図解
攻撃者は工夫を凝らし、ソフトウエアの脆弱性を意のままに操ろうとしている。だが、ソフトウエアに脆弱性が存在しても、意図したように動作させるのは容易ではない。その手口は、脆弱性の種類によって様々だ。どのようなメカニズムで脆弱性は悪用されるのか。代表的な手口を取り上げ、その恐るべきメカニズムを図解する…
-
Part1 「被害」―どのような被害に遭うのか
「脆弱性」。一般的には「もろくて弱い性質」「傷つきやすい性質」といった意味だが、コンピュータやネットワークの分野では、「ソフトウエアのセキュリティ脆弱性」を指す場合が多い。では、ソフトウエアのセキュリティ脆弱性とは何か。定義は人によって様々だ。本特集では、「セキュリティの問題を引き起こす、ソフトウ…