攻撃者によって、セキュリティ上の脅威の原因となる問題点や弱点を
「脆弱性」や「セキュリティホール」といいます。
それは、ハード的な設備や管理の問題であったり、
システム上の設計ミスやバグを起因とする問題であったり、
システムの各種設定や見落としの問題であったり、さまざまです。
フールプルーフの精神から、人為的ミスの予防も
ソフトウェアのあるべき姿であり、
そう考えたソフトウェアの全ての欠陥を
セキュリティホールを呼ぶことが多いようです。
プログラム脆弱性に対する対策
一般に製造元から修正プログラムが提供され、
これをセキュリティパッチ(security patch)と呼びます。
通常はインターネットなどで無償で配布されることが多い状況です。
セキュリティパッチは、セキュリティホールの原因となっているファイルを、
問題のないファイルに置き換えるためのソフトで、
1つのセキュリティパッチで複数のセキュリティホールを
修正することもあります。
このようなセキュリティパッチを実行して適用させることを、
「ソフトウェアのアップデート」または
「ソフトウェアの更新」といいます。
経済産業省では、2004年7月に
「情報セキュリティ早期警戒パートナーシップ」
「ソフトウェア等脆弱性関連情報取扱基準」施行しています。
そして、届出の受付機関に
情報処理推進機構(IPA:Information-technology Promotion Agency)が、
脆弱性関連情報の開発元への連絡、公表、調整の機関に
JPCERT/CCが指定されました。
(Jpan Computer Emergency Response Team)
脆弱性対応情報を公開するサイトの
JVN (Japan Vulnerability Notes)
は、IPAとJPCERT/CCの共同で運営してしているサイトです。
これら情報源を参考に、早急にパッチを適用することは、
システム管理者の大きな責任の一つと言えます。
しかし、一方でパッチを適用することで
システムが不安定になった現実があることも
報告されています。
つまり、アップデートによってこれまで動作していたシステムが動かなくなる可能性もあるということです。
顧客に提供するサービスの可用性も考慮して、
パッチを適用することが現状システムにとって、本当にベストかどうかの判断が必要ということです。
CSIRT(Computer Incident Response Tearm)
インターネットを介して発生する
コンピュータ・セキュリティ・インシデントに対応する活動組織のことです。
このCSIRTの日本の代表機関がJPCERT/CC
ということになります。