入社一年目のSCTセキュリティ奮闘記　～第一回　脆弱性とは？～

初めまして、音楽（特にロックバンド）大好きな社会人１年目のShinoです。

私は現在外部研修を終え、セキュリティ商材を扱う部署に配属しています。
「入社一年目のSCTセキュリティ奮闘記」と題して、月に一回、入社一年目の立場から、セキュリティに関する様々な情報を皆様に提供できればと思っています。

さて、私がセキュリティ商材を扱う部署に配属されてから一番耳にするワードが、「脆弱性」という言葉です。
横文字や英略語が多いIT業界の中では珍しく日本語なので、すぐに理解できました。
第一回目の今回は、「脆弱性とは」をテーマにブログを書いていきます。

脆弱性とは読んで字のごとく、脆く、弱い、性質のことです。
これをセキュリティの観点に置き換えると、コンピュータネットワークの安全上の欠陥ということになります。

コンピュータを使って意図的に悪いことをするハッカーは、この「脆弱性」を突いて情報を不正に操作したり、サーバーを攻撃したりします。
すると、内部にある機密情報などのデジタル資産が晒され、企業にとっては取引先からの信用を失い、最悪の場合倒産してしまう可能性もあります。

実際に、脆弱性を突かれて情報漏洩するケースは、私たちの身近にもあります。
例えば、二年前にコンタクトレンズを扱っている某企業の子会社が運営する会員制Webサイトが外部から不正アクセスを受けました。その結果、顧客のクレジットカード情報が流出し、700万円近くもの不正利用被害が発生しました。
私もコンタクトレンズを仕事、プライベート問わずほぼ毎日使っていますので、もし自分が上記のような会員制サイトのユーザーだったらと思うと不安を感じます。

こういった悪意ある外部からの攻撃を100％シャットアウトすることは、現状では非常に難しいです。
だからといって、なにも対策をしなければ攻撃の的になってしまいます。ハッカーは、「有名な大企業ばかり」を攻撃するイメージがあると思いますが、実は「簡単に攻撃できるところ」も狙っています。
ですから、インターネットやコンピュータを利用している限り、誰しもみな等しくセキュリティ対策が必要になります。
では、なにから対策したらよいのかと言うと、「診断をして自分の弱いところを知りましょう」ということで、脆弱性診断です。

IT業界のなかでも、ニッチな部類に入る製品ではありますが、今やコンピュータを使わないビジネスは皆無に等しく、ますますセキュリティの重要性に拍車がかかることを想定すると、企業が脆弱性診断サービスを導入することはもはや必須と言えます。