情報セキュリティリスクの「脅威」と「脆弱性」｜違いと関係性を理解し正しく対策しよう

セキュリティ対策を考えたとき、避けて通れないのが「脅威」と「脆弱性」です。

本記事では、脅威と脆弱性の違いや関係性、対策を考える上で必要な知識について詳しく解説していきます。それぞれの具体例や、リスクを減らすための方法についても紹介しているので、セキュリティ担当の方はぜひ参考にしてください。

情報セキュリティにおける「脅威」とは

情報セキュリティにおける「脅威」とは、情報システムやデータに対して損害を与える可能性がある外部要因を指します。例えば、サイバー攻撃、物理的な破壊、内部による不正行為などが脅威として挙げられます。
また、脅威には悪意のある第三者によって意図的に発生したものだけでなく、偶発的に発生する場合や、自然災害に起因して発生するものもあります。

例えば、「悪意のある第三者による攻撃」は脅威として分かりやすい例となりますが、「地震によってデータセンターが崩壊した」ということも脅威の1つとして扱われます。発生する可能性は非常に低いとはいえますが、地震や台風、津波といった自然災害の多い日本においては、脅威として捉えておく必要があります。

情報セキュリティを考える際には、これらの脅威を特定し、評価し、適切な対策を講じることが必要不可欠となります。

情報セキュリティにおける「脆弱性」とは

情報セキュリティにおける「脆弱性」とは、情報システムやネットワーク、データに存在する欠陥や弱点などを指します。プログラムのバグやハードウェアの設計ミスが原因で発生することが多いのですが、設定を間違った結果引き起こされる場合もあります。

システムの脆弱性を放置してしまうと、故意に悪用されたり、偶発的に発生した脅威によって悪用されたりする可能性があります。脆弱性を起点とした第三者の攻撃が多いことから「セキュリティホール（穴）」と呼ばれることもあります。

脆弱性の存在を早期に発見することが先決であり、その上で適切な修正や対策を施すことが、情報セキュリティにおけるリスク管理の基本といえます。

「脅威」「脆弱性」「リスク」の関係性

「脅威」「脆弱性」と、それに伴う「リスク」は、情報セキュリティの基本概念として密接に関連しているため、常にセットで考える必要があります。

この3つの単語の関係性を端的に述べると、脅威と脆弱性が組み合わさることで、情報セキュリティリスクが発生する、ということになります。脅威と脆弱性はそれだけではまだ問題になりませんが、脅威が脆弱性を利用することで、システムやデータに損害が生じる可能性があります。この可能性が情報セキュリティにおける「リスク」です。

リスクは、脅威が脆弱性を悪用することで発生する損害の可能性やその影響の大きさを指します。例えば、ネットワークシステムに存在する未修正のセキュリティホール（脆弱性）が、サイバー攻撃（脅威）によって悪用されると、データ漏えいやサービス停止といった重大な被害（リスク）が生じます。

また、企業がセキュリティ対策を立てる際、「リスク管理」は非常に重要といえます。理想の対策は、全ての脆弱性を取り除き、全ての脅威に対策することです。

しかし、それでは莫大なコストが発生してしまいます。効果的に情報セキュリティ対策を実施するには、脅威の特定と評価、脆弱性の検出と修正、そしてリスクを正しく評価し管理することが必要です。

バランスの取れたセキュリティ戦略を構築することが、自社の情報資産を守るための鍵となります。

「脅威」の主な具体例

現実に存在する「脅威」はさまざまですが、大きく分けると以下の3つに分類できます。

• 意図的脅威
• 偶発的脅威
• 環境的脅威

悪意ある人間が引き起こす「意図的脅威」

意図的脅威は、悪意を持った攻撃者が情報システムやデータに対して意図的に損害を与える行為を指します。脅威というと、この意図的脅威を真っ先に思い浮かべる方が多いのではないでしょうか。

例えば、ハッキング、フィッシング、マルウェアの感染などが意図的脅威に該当します。攻撃者は、金銭的利益を目的として行動したり、対象者を陥れることを意図して攻撃を実施したりすることがあります。

意図的脅威を防ぐためには、強固なセキュリティ対策や監視システムの導入が必要です。また、近年では「emotet」といった新しい攻撃手段が生まれており、意図的脅威にさらされる可能性が高まっています。そのため、システム面だけでなく、従業員のセキュリティ意識向上やトレーニングも重要な対策となります。

脅威の種類や危険性は年々増加しているため、最新の脅威情報を把握し、迅速に対応することが必要です。

悪意ない人間が引き起こす「偶発的脅威」

偶発的脅威は、悪意のない人間のミスや不注意によって引き起こされる脅威を指します。
例えば、誤って重要なデータを削除したり、セキュリティポリシーを無視して脆弱なパスワードを使用したりする行為が該当します。偶発的脅威は、意図的ではないことから情状酌量の余地を求めがちですが、情報システムに重大な影響を与える可能性があるため、厳しく監視・管理することが肝要です。

とはいえ、「ミスをしない人間はいない」と考える必要があります。従業員の教育や訓練といった対策はもちろん必要ですが、仕組みで偶発的脅威を最小限に抑えることが重要です。
誤操作を防ぐようなシステム設定や、適切な権限設定を実施すること、定期的なバックアップの実施などが対策として挙げられます。

自然災害や地理的条件が引き起こす「環境的脅威」

環境的脅威は、自然災害や地理的条件によって情報システムやデータに損害を与える可能性がある脅威を指します。例えば、地震、洪水、火災などがこれに該当します。発生頻度こそ少ないものの、災害の多い日本においては環境的脅威への対策は必須といえるでしょう。

環境的脅威は人為的な介入が困難であるため、事前の備えが重要です。対策としては、データの定期的なバックアップ、耐震設計の導入、災害に備えて遠隔地にあるデータセンターで運用する、などが挙げられます。

発生確率は低いものの、発生するとシステムだけでなく業務そのものがうまくまわらず、甚大な損害が発生する可能性があります。環境的脅威に対するリスク評価と対策計画を立てるBCP（事業継続計画）を策定し、災害時の対策を常に意識するとよいでしょう。

「脆弱性」の主な具体例

次に、脆弱性の具体例についていくつか紹介します。

ただし、ここで紹介するのは一例であり、現実に存在する脆弱性は多岐にわたります。「システム・ソフトウェアの脆弱性をゼロにするのは不可能である」という前提を忘れないようにしましょう。

設計ミスやシステムエラーなどソフトウェアが持つ脆弱性

ソフトウェアの脆弱性として、設計ミスやプログラムのバグが原因であるものが挙げられます。

例えば、入力検証の不備による「SQLインジェクション」や、アクセス制御の誤りなどが原因で引き起こされる「ディレクトリトラバーサル」や「コマンドインジェクション」が該当します。

ソフトウェアやシステムの持つ脆弱性が攻撃者に悪用されることで、データの不正取得や乗っ取りなどの被害を引き起こします。ソフトウェアの脆弱性を減らすためには、開発時にセキュアコーディングを徹底することや、定期的なセキュリティテストを実施するとよいでしょう。

書類やデータの運用管理体制が持つ脆弱性

運用管理体制の脆弱性とは、情報の取り扱いや管理における不備を指します。例えば、アクセス権限の管理が不十分であったり、セキュリティポリシーが適切に実施されていなかったりすることでこの脆弱性が発生します。

この脆弱性は「本来閲覧できないはずの情報にアクセスできてしまった」ことが原因で、内部者による不正行為や情報漏洩のリスクを高めることになります。

また、この脆弱性は情報システムだけでなく、物理的な紙の情報でも同様のことがいえます。書庫に鍵をかけていたとしても、誰でも鍵が使える状態ではかけていないのと同じです。

運用管理体制を構築する際には、アナログ・デジタルを問わない「情報」を定義し、正しいアクセス権を実現するようにしましょう。

オフィスやデータセンターの立地が持つ脆弱性

物理的な脆弱性には、オフィスやデータセンターの立地や環境が影響します。例えば、地震多発地帯や洪水リスクの高い場所に設置された施設は、自然災害による被害を受けやすいといえます。事実、2011年に発生した東日本大震災では、建物ごとサーバーが津波に巻き込まれ、データがすべて消失した、という事例もあります。

また、サーバー室や倉庫への物理的なアクセス制御が不十分である場合、外部からの不正侵入や、社内の人間による意図的な犯行リスクも高まります。

立地による物理的な脆弱性を低減するためには、立地選定時のリスク評価や、防災対策の実施、物理的なセキュリティ対策などの強化が必要です。対策にはお金と時間がかかるため、リスクを考慮して効果的に実施する必要があると考えましょう。

「脆弱性」につけ込む悪質な情報攻撃

脆弱性を突いた脅威である意図的脅威として、どのような攻撃方法が存在するのでしょうか。ここでは、脆弱性を突いた攻撃手法の一例を紹介しますので参考にしてください。

脆弱性対策がされる前につけ込む「ゼロデイ攻撃」

ゼロデイ攻撃とは、ソフトウェアやシステムの脆弱性が公表される前に、その脆弱性を悪用する攻撃手法です。

多くの脆弱性は発見から対策したシステムをリリースするまでに、ある程度時間を要するため、対策までの間は危険な状態になります。ゼロデイ攻撃は、その短い期間を悪用した攻撃です。ベンダーが修正パッチを提供する前に行われるため、危険な存在といえます。

ゼロデイ攻撃を防ぐためには、脆弱性の早期発見と迅速なパッチ適用は必須ですが、一時的にその脆弱性が晒されることは防ぎきれません。そのため、「侵入される可能性」をはじめから考慮した対策を実施しましょう。侵入された場合にそれを検知し、少しでも早く対策するシステムを導入することで、さまざまなゼロデイ攻撃への緩和策となります。

ユーザーが知らない外部への通信経路を設置する「バックドア」

バックドアは、システムに密かに設置される不正なアクセス経路です。日本語に訳すと「裏口」という意味となります。攻撃者はこの裏口を悪用することで「正規の認証やアクセス権を無視して」システムへアクセスできるようになります。

バックドアはソフトウェアのバグや設定ミスによるものとは異なり、マルウェアの感染や、他の脆弱性を悪用して設置されます。一見すると「正規の運用」として扱われてしまい、検出と除去は困難です。

システムに怪しい設定がないか、ネットワークトラフィックに予期しない通信がないかなどの定期的なチェックが必要です。

OSやソフトウェアの脆弱性につけ込む「マルウェア感染」

マルウェア感染は、ウイルス、ワーム、トロイの木馬などの悪意あるソフトウェアがシステムに侵入し、情報を盗み出したり、最悪の場合システムを破壊したりする場合もあります。

マルウェアは、システムの脆弱性を利用して侵入する場合がありますが、各社員の利用しているパソコンやタブレットといったデバイスを経由して感染が拡大します。そのため、システムが動いているサーバーの対策だけでは不十分といえるでしょう。

対策として、セキュリティソフトをサーバーだけでなく各社員の利用している全デバイスへ導入し、定期的な更新やシステムスキャンを実施することが必要です。

セキュリティが脆弱な企業経由で不正アクセスする「サプライチェーン攻撃」

サプライチェーン攻撃は、ターゲットとなる企業を直接攻撃するのではなく、取引先や関連企業といったサプライチェーンの一部を攻撃し、そこを経由して間接的に攻撃を行う手法です。

大手の企業はセキュリティ対策が万全である一方で、社員数の少ない中小企業などは対策が不十分であることが多いです。サプライチェーン攻撃は、その隙を突いた非常に悪質な攻撃手法といえるでしょう。

この攻撃を防ぐためには自社のみの対策では不十分です。取引先のセキュリティ評価や、包括的なセキュリティ対策により、他社の脆弱性の社内波及を防ぐように対策することが必要となります。

「脆弱性」をなくすことはできないのか？

まず前提として、脆弱性を完全になくすことは不可能と考えてください。

情報システムやソフトウェアは複雑で、多くの要素が絡み合っているため、完全に無欠な状態を維持することはほぼ不可能です。しかし、脆弱性の影響を最小限に抑えることは可能です。リスクを限りなく0に近づけることで被害が発生しなければ、脆弱性の対策はできていると判断できます。

重要なのは、脆弱性が発見された際に迅速に対応し、リスクを管理する体制を整えることです。脆弱性や脅威によるリスクから、発生する可能性と発生した場合の被害を評価し、対応可否を判断します。リスクとコストを天秤にかけ、正しい判断をすることが重要であると考えましょう。

自社が持つ「脆弱性」を「脅威」から守り「リスク」を減らすためには

自社に存在する脆弱性を脅威から守るためには、具体的な対策が必要です。ここでは、リスクを減らすための対策を紹介します。

社員の情報リテラシーを向上させる

多岐にわたる攻撃から企業を守るために、全社員にセキュリティ教育を実施し、情報リテラシーを底上げします。

情報セキュリティの重要性や、フィッシングメールの識別方法、安全なパスワードの作成方法など、日常的なセキュリティ意識を高めるためのトレーニングを実施しましょう。

また、セキュリティポリシー遵守の徹底も必要です。定期的なセキュリティ研修や、eラーニングを活用した教育プログラムを導入することで、社員の意識向上につながるでしょう。

脅威とリスクを明確にする

情報セキュリティのリスクを管理するため、脅威とリスクを明確にし、その評価を行います。どのような脅威が存在するのか、そしてそれがどの程度のリスクをもたらすのかを定量的に評価することが重要です。

リスクの優先順位を設定し、高リスクの領域に対して重点的な対策を講じます。この一連の流れを「リスクアセスメント」と呼びます。リスクアセスメントを通して、対策に要するリソースを効率的に配分し、重大な脅威に対して効果的に対応しましょう。

新たな脆弱性が発見されたことを定期的に確認する

脆弱性対策は1度対策したら終わりではありません。毎日のように何かしらのソフトウェアやシステムに脆弱性が発見されており、迅速に対応する必要があります。

定期的な脆弱性スキャンや監査を実施し、最新のセキュリティ情報を収集します。また、脆弱性情報データベースやセキュリティベンダーからの通知をうまく活用し「脆弱性が見つかり次第、即座にパッチ適用や対策を講じる」ような体制を構築し運用することが重要です。

情報セキュリティマネジメントシステム（ISMS）の導入と運用

情報セキュリティマネジメントシステム（ISMS）は、組織における情報資産のセキュリティに関する枠組みを指します。ISMSの標準項目は国際規格であるISOで規定されており、ISMSの基準にそってセキュリティ対策を実施することで、セキュリティ対策を実施できます。

なお、ISMSの適合性を評価する制度が存在します。ISMSの認証を取得することで、自社のセキュリティ対策が向上するだけでなく「セキュリティに関する管理体制が整っている」という証明になります。

ISMSの運用には経営層の理解と全社員の協力が不可欠であり、相応のコストが必要となりますが、社外の信頼性の向上にもつながります。

リスクが起きてしまった場合への備えをしておく

どんなに対策していても、常に「リスクが顕在化し被害が発生すること」を意識する必要があります。

地震や火災、盗難に対する保険があるように、サイバー攻撃を受けた場合に補償を受けられる「サイバー保険」が存在します。サイバー保険は、攻撃による業務停止の際に発生する費用や、破損されたデータ修復費用、法的費用、記者会見などの費用をカバーします。

サイバー攻撃により個人情報などが漏えいした場合、失われた信用を取り戻すことは簡単ではなく、回復するためには多くの費用が必要です。しかし、事前にサイバー保険に入っておくことで費用の負担を軽減できます。少しでも早く信用回復するためにも、保険で備えておくとよいでしょう。

まずは「セキュリティ診断」で自社に内在する脆弱性がないかチェックしてみよう

三和コムテック（SCT）のセキュリティ診断ソリューションは、セキュリティに関するさまざまな診断サービスを提供しています。

インターネットなどの公開情報から、自社に関する情報が漏えいしていないか調査してくれる「脅威インテリジェンス」や、自社のWebサイトや社内システムを外部からの攻撃から守る「Webアプリケーション攻撃対策」および「Webサイト改ざん対策」といったソリューションを展開しています。

3,000社を超えるセキュリティ診断実績がありますので、脆弱性に対して課題を持つ場合にはぜひこちらからお問い合わせください。
https://product.sct.co.jp/product/security

まとめ

情報セキュリティにおいては「脅威」「脆弱性」「リスク」の関係性を理解し、適切にリスクアセスメントを実施することが重要です。

脆弱性や脅威がなくなることはなく、攻撃手段はどんどん巧妙になっていくため、対策が難しくなっています。社員の情報リテラシー向上や定期的なセキュリティ診断の実施を通じて、組織全体でセキュリティ意識を高め、持続的にセキュリティ活動を続けるようにしましょう。