こんにちは、セキュリティ初心者の勉強部屋です。

初心者は日々勉強中なのです。
ということで本日のお題は

『脆弱性』ってなんだ！？

よく聞くこの言葉、色々な場面において使われていますが、そもそもの意味は、「もろくて弱い性質をもつこと」
漢字の通りですね。

情報セキュリティにおける用語として、コンピュータに存在する情報セキュリティ上の欠陥を指し、セキュリティホールと呼ばれることもあるとのこと。（Wikipedia より引用）

悪意のあるウィルスソフトや、ネットワークに不正に侵入してくるボットプラグラムなどは、この脆弱性を見つけて侵入しきます。
とてもやっかいな代物です。この脆弱性は、どのタイミングで出来てしまうのでしょうか。

脆弱性は、Windows などのオペレーティングシステムや、そのうえで動くソフトウェア、ネットワークシステムやサーバーシステム、及びその周辺機器等々。多岐に渡って存在します。

悪意のあるものは、脆弱性をよく理解していて、そこに対策が施されていないと、容易に侵入してきたりします。

「●●サイトから、会員情報〇〇万人分流出」 といった事故はご記憶にあると思います。

「対策が施されていない」 と一言で言っても、いったいどんな対策をしなければいけなのでしょう。

皆様もオペレーティングシステムやソフトウェアのアップデートを行ったことがあると思います。
ソフトウェアベンダーは、自らのシステムに脆弱性を発見すると、その修正プログラムを配布します。
私たちは、それらをインストールすることで、脆弱性に対処している、ということになるわけです。

そもそも脆弱性を探すって、出来上がったものの穴を探すわけなのですが、その方法は様々です。

脆弱性を見つけてくれる検査があります。
動的検査やペネトレーションテストと呼ばれているものがこれに該当します。

当社でも代理販売している「脆弱性診断サービス」。
このサービスで見つけられた脆弱性は、対策ソフトウェアや、対策機器で対処することが可能です。

例えば Webサイトに脆弱性が見つかりました。FW（ファイアウォール）を導入しているけど、それだけではどうも足りないようです。そこで、WebアプリケーションそのものにFWを設置して対処します。WAF（ウェブアプリケーションファイアウォール）と呼ばれるツールが、対策ソフトとなるわけです。

もう一つの対策もあります。

それは、そのWebアプリケーションそのものに脆弱性を作りこまない、という対処方法です。

通常の開発者は、仕様書通りにシステムを作成するため、脆弱性を意識した作りをしていないケースがあります。
アプリケーションそのものにも、脆弱性を作らない開発ができていれば、非常に堅牢なシステムを作れるということになります。

ただ、複数の開発者、みなさん一様に脆弱性を作りこまない開発手法をとることは容易なことではありません。

そこで、開発者達は、静的診断ツールなるものを使用しています。
自分たちが開発しているアプリケーションに脆弱性は存在していないか、どのように作れば脆弱性にならないか、これらの診断と指摘をしてくれる超便利ツールを使用しています。
静的診断ツールを使用することで、すべての開発者が均等に脆弱性に対する開発に取り組めることになります。

代表的なツールとして、当社が扱う Microfocus Fortify SCA です。

アプリケーションソフトウェアの開発者の皆様たちは、このような便利ツールを使用して、自らのアプリケーション、ソフトウェアに脆弱性を作りこまない努力をされているわけです。

皆様、本当に頭が下がります。

脆弱性が存在するだけで、本当にやることてんこ盛りで、こまったものですね。

最後に
脆弱性の対処方法、これだけあれば一発OK、といったよいアイデアがあればお知らせください。
そんな便利なものがあれば、皆さんもきっと喜ぶはず、、、