東京都産業労働局 令和4年度中小企業サイバー
セキュリティ対策継続支援事業

文字サイズ
中小企業向けサイバーセキュリティ対策の極意

自社の弱点、脆弱性とは

資産を守るためには、まず弱点を知ることが重要です。セキュリティにおいて、この弱点のことを脆弱性と言います。

脆弱性

Point① 脆弱性に対処する

資産を保存している環境や運用ルールに潜む弱点が脆弱性です。脆弱性が現在はなくても、時間の流れとともに顕在化する場合もあります。

脆弱性の例

 
脆弱性の種類
人の脆弱性 ルールの認識不足、適切ではない権限貸与、物忘れ、など
システムの脆弱性 OSバージョン・設定・アクセス権限の不備、など
ネットワークの
脆弱性
通信経路の不備、アクセスリストの不備、など
運用の脆弱性 承認プロセスの不備、確認の不備、監視の不足、など


出典:総務省
「国民のためのサイバーセキュリティサイト」をもとに作成
https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/basic/basic_risk_11.html

※脆弱性の把握・検討についてはDay5に行います。

Point② サイバー攻撃に悪用される脆弱性

攻撃しようとした場合、攻撃者はシステムを調べるところから始めます。システムで利用されているOSのバージョン情報や動いているソフトウェアの情報などを偵察します。もし、システム内で動いているOSやソフトウェアに脆弱性があれば、その脆弱性をついて攻撃を行います。攻撃が成功すると、遠隔操作などが可能となります。

One point

近年、脆弱性がコンピュータウイルスや不正アクセス等の攻撃に悪用されるケースが増加しています。また、脆弱性に関する情報の公開後に、その脆弱性を狙う攻撃方法が作られ、広まるまでの期間が短くなる傾向があり、対策前にコンピュータウイルスに感染する危険性、公開サーバが攻撃され大きな被害を受ける危険性、および脆弱性を放置したことにより第三者が被害を受ける危険性も増大しています。
脆弱性については、対策がとられないまま放置されたり、対策がとられない状況で悪用可能な情報が先に公開されたりする場合の問題が指摘され、このような問題に対処するために、関係者間の適切な脆弱性に関する情報の共有と連携が強く求められています。

出典:独立行政法人情報処理推進機構(IPA)
IPA脆弱性対策コンテンツリファレンス
https://www.ipa.go.jp/files/000051352.pdf