インターネットのWebサイトを見ていると,よく「Windowsに重大なセキュリティ・ホールが見つかりました」というニュースを目にする。このあとには,たいてい「WindowsウインドウズUpdateアップデートで修正プログラムの適用を忘れずに…」と続く。これだけを見ると,セキュリティ・ホールとはソフトウエアのバグ(欠陥)のように思える。そう言い切っていいのだろうか。
たしかに,ソフトウエアのバグもセキュリティ・ホールの一つになり得る。
ソフトウエアや機器の開発者は,バグがないように心がけて製品を作って出荷する。しかし,開発時にすべてのバグをチェックしきれずに,製品を出荷したあとにバグが発覚することがある。このバグがユーザーのセキュリティを脅かすものだった場合,セキュリティ・ホールと呼ばれることになる。例えば,ソフトがユーザーの意図しない動作をしたり,パソコン内のファイルを不正に操作されたりするようなバグである。WindowsUpdateは,このようなプログラムのバグを修正するものである。
しかし,セキュリティ・ホールは,バグだけを指している言葉ではない。セキュリティの弱点全般を指す言葉である。
まったくバグのないソフトウエアを使っていても,ユーザーが間違った設定や運用をしていたら,その運用自体がセキュリティ・ホールになる。ユーザーにとって必要のないWebサーバー・ソフトを起動している状態も,セキュリティの弱点になり得る。見知らぬ第三者にアクセスされる危険性があるからである。
また,安易なパスワードの設定もセキュリティ・ホールと言える。見知らぬ第三者がパスワードを推測することで,勝手にパソコンが使われる可能性があるからだ。パソコンのディスプレイに,パスワードなどを書いた紙を貼っておくのも同様である。
このように,設定や管理・運用などもセキュリティ・ホールになり得るのである。
そもそもホール(hole)という言葉を日本語に訳すと「穴」という意味になる。「穴」という字が付く言葉で思いつくのは「落とし穴」や「抜け穴」。つまり,セキュリティ対策を講じるユーザー側から見ると,セキュリティ・ホールは,完璧に作ったはずのシステムに見つかった落とし穴といえる。
逆に,不正侵入する側にとってみれば,セキュリティの弱点は,ユーザー側の対策を突破するための抜け穴に見える。セキュリティの弱点が,穴(ホール)に例えられるのは,穴のもつこうしたイメージのせいだろう。
<日経NETWORK2004年3月号では,FTTH用光ファイバから海底ケーブル,LAN用UTP,同軸,USB,プリンタなどのケーブルまで,合計25種類のケーブルを解剖して解説を加えた特集記事「写真でわかる ケーブル大図鑑」を掲載しています。ぜひ,ご覧ください>
