「セキュリティホール」をすぐ塞ぐべき理由

「セキュリティホール」という言葉を、IT関連ニュースで聞いたことはありませんか？
今日はそんな「穴」にまつわる、すこし怖―いお話です。

目次

「穴」からこっそり覗ける、ヒミツの世界？

大きくても親指の周囲くらい、小さければ鍵穴や、鉛筆の軸くらいの大きさ。
そんな「のぞき穴」を通して、とんでもないヒミツの情報をつかんでしまう......！
漫画やドラマ、映画などのワンシーンで描かれる、そんな状況を見たことがあるでしょう。

そんな「穴」ひとつで情報が洩れるものなの？　とお思いかもしれません。
しかし、その穴を使って、たとえば盗聴器を設置することも決して不可能ではありません。

単４乾電池で動くくらいの小型盗聴器なら、こっそりしかけることができてしまいます。
むろん、盗聴だけではなく、盗撮という事態ですらも十分ありえます。

もし、自分の生活が、「穴」ひとつを通して誰かに見られていたとしたら......ぞっとしますよね。

「そもそも、そんな怪しい行動を取っている人間がいたらさすがにばれるでしょ！」
「私の周りはいい人ばっかり。そんなことする人、滅多にいないと思うけど......」

......などと思うかもしれませんが、いつだって事実は小説よりも奇なり。
少しでも「可能性」があることはいつか起きうると心得よ、というのが、リスクマネジメントの基本です。

さて、そんなヒミツが漏れ出てしまう「穴」は、情報セキュリティの世界にも存在しています。

「セキュリティホール」という用語を、ご存知ありますか？
「脆弱性」と言ったほうがピンとくる、という方もいらっしゃるかもしれません。

さまざまなOSなどのシステムやアプリケーションなどのソフトウェアは、本来ならばあってはならないセキュリティ的に無防備な「穴」、たとえば外部からの侵入などの"攻撃"にきわめて弱い部分を持ったまま、リリースされてしまうことがあります。これがセキュリティホール、「脆弱性」です。

多くの場合、システムやソフトは、「穴」がひとつもないように十分に検証を繰り返してから（「脆弱性診断」）、満を持してリリースされます。しかし時々、脆弱性診断のときに見つけられなかった「穴」の存在が、あとから判明することがあるのです。

どんなに高機能なシステムやソフトウェアも、人の手がつくるものですから、常にカンペキなものではないのです。

サイバー攻撃者は、そういった「穴」を目ざとく見つけ、外部から攻撃したり、侵入をしようとします。
まさに、部屋に開いた「穴」から住人のプライベートを覗こうとしたり、盗聴・盗撮をしようとするようなものです。

そんなセキュリティホール、放置しておくと、たとえば自社サーバへの侵入や、不正なプロセスでのデータ改ざんといった緊急事態を招きかねません。

ちなみに、「穴」の大きさは大小さまざま。とはいえ、「小さい穴」だから......といって安心するのは禁物。そもそも、「穴」が存在する、ということ自体が大問題なのです。「穴」は見つかり次第で、できるだけ早く塞がなければなりません。

たいていはOSやソフトウェアの開発元が、脆弱性の存在を把握し次第で、「穴」を塞ぐためのパッチを発行してくれます。ですが、サイバー攻撃者の手腕をナメてのんびりしていると、痛い目にあいます。脆弱性が発見され、修正されるまでのほんの少しの間に被害を受けることも、少なくないのです。

でも、OSやソフトウェアを使っている私たちは専門家でもないし、「穴」がどこにあるかわからない！
どうやって「穴」を塞いだらいいの？

そう不安にお思いかもしれませんが、ご安心ください。
たいていは、OSやソフトウェアのアップデート（更新）で、「穴を塞ぐ」ことができます。

あ、そこのあなた。
OSやソフトウェアのアップデートと聞いて、ちょっとだけうんざりした顔をしましたね？

たしかに、システムやソフトのアップデートに時間がかかる、ということはままあります。
更新作業をはじめてしまうと、まともに作業ができなくなってしまう。
忙しくって、そんなことしてる時間がない！　という方もいらっしゃるかもしれません。

しかし、だからといってアップデートをサボったり、「更新しない」ように設定するのは危険です。

「穴」を放置すると、目ざとく攻撃者に目を付けられて情報がだだ洩れに......ということも十分にありえる、ということを、まずは自分ごととして意識してみてください。
「マメであること」が、実はいちばん"効く"セキュリティ対策になるんです。