IPAによると、サイバー犯罪の届け出件数や被害額は年々増加しているようです。2025年の情報セキュリティ10大脅威(組織)では、1位 ランサムウェア攻撃による被害、2位 サプライチェーンや委託先を狙った攻撃、3位 システムの脆弱性を突いた攻撃等々でした。詳しくは、こちらから確認できます。今回は10大脅威(組織)のうち「システムの脆弱性を突いた攻撃」にフォーカスしました。
AIによると、システムの脆弱性とは、コンピュータのOSやソフトウェア、ハードウェアなどの情報システムにおけるセキュリティ上の欠陥のことを指し、この脆弱性を悪用されると、不正アクセスや情報漏洩、システムの停止など、様々なセキュリティ上の問題が発生する可能性があるとのこと。さらに脆弱性の種類、危険性、対策と続き、種類として、ソフトウェア、ハードウェア、ネットワークの脆弱性、人的な脆弱性があげられるようです。
脆弱性を放置すると、それを悪用されシステムに不正侵入されたり、情報漏洩、マルウェアの感染、システムの停止、データ改ざんにつながる恐れがあります。
脆弱性の対処には、まず脆弱性となりうるハードウェア、ソフトウェアの資産を把握が大事です。資産で特にインターネットに公開されているものは注意が必要となります。
資産把握後、脆弱性対応のプロセスについて調べました。トリアージという言葉があります。元々は医療用語でしたが、セキュリティ文脈でトリアージを調べたところ、「サイバー攻撃やセキュリティインシデントが発生した際に、その緊急度や重要度を判断し、対応の優先順位を決めるプロセスのこと」とありました。
トリアージには、NVD、JVN、KEV、ベンダー情報、ニュース等を利用します。その後、①NVDやベンダーの脆弱性情報を元に定期的なメンテナンスで対応するもの、②緊急に対応するもの、③様子見、と振り、トリアージを行います。