脆弱性対策

脆弱性対策(悪意ある者による侵入を許すセキュリティホール対策)として最も有効なものは、メーカーの提供するOSやソフトウェアの最新版へのアップデートや修正パッチの適用です。

ただし、一度脆弱性を塞いでも、また新たな脆弱性が発見される可能性があるため、常にOSやソフトウェアの更新情報を把握し、できる限り迅速にアップデートを行うことが重要です。

侵入防止機能を持つファイアーウォールで防ぐ

その他の脆弱性対策として、パソコンに標準搭載されているファイアーウォール機能やセキュリティソフトで提供しているファイアーウォール機能があります。

OS標準とセキュリティソフトのファイアーウォールの違い

セキュリティソフトに入っているファイアーウォールとパソコンに標準で搭載されているファイアーウォールは一体どう違うのでしょうか。

OSに標準搭載されているファイアーウォール

OSに標準搭載されているファイアーウォールは通信を行うポートの管理を主に行っています。
ポートとは、パソコンと外部をつなぐ通信の出入り口のようなもので、通信の種類によってパソコンのポートは0～65535に番号が与えられ○番ポート、という形で管理されています。 これらのポートの内、80番ポート(WEBを閲覧する場合に使うポート)と443番ポート(暗号化通信に使うポート)以外を閉じることで、外部からの侵入を防いでいます。 しかし、多くの攻撃は80番ポート443番ポートやアプリケーションなどの脆弱性を狙って行われることが多い為、セキュリティソフトによる強化が必要となります。

セキュリティソフトのファイアーウォール

セキュリティソフトに入っているファイアーウォールは、下記の3つの対策に分けられます。

• ドライバ・アプリケーション自動アップデート機能 侵入される脆弱性をなくすという視点から、各アプリケーションやドライバのアップデートをセキュリティ製品が、脆弱性を含むアプリケーションの自動更新を実施し、最新の状態を保つことで脆弱性を塞ぎ、侵入を防止します。
• IDS(侵入検知システム)機能 全ての通信を監査することで、不正な侵入や不審な通信を検知します。全ての通信を監査する為、動作が重くなることが欠点として挙げられます。また、IDS機能は検知することを目的としているため、遮断することはできません。
• HIPS(侵入防御システム)機能 全ての通信を監査することで、不正な侵入や不審な通信を検知し遮断します。パソコン内にMITRE CVE脆弱性情報などに掲載されたアプリケーションを通じてパソコンへの侵入を防ぐ目的で、該当アプリケーションの対応版がリリースされるまでの間、この脆弱性を用いた侵入を防ぐ試みを行います。パソコン利用者は脆弱性情報に最新の注意を払い、利用しているアプリケーションを自ら最新版へ更新する必要があります。パソコン利用者がアプリケーションを最新版にしても、そのような侵入がないか常に監視し続けるため、これらの情報の蓄積や全ての通信を監査する為、通信動作が重くなることが技術的な短所として挙げられています。

ただし、残念ながらゼロデイ攻撃に対してはどの方法でも守ることができないのが現状です。上記の3つの対策は製品によってどれか1つが採用されていることが多いので、自分の環境にあったセキュリティソフトを選択しましょう。

まとめ

• 脆弱性対策は最新版へのアップデートや修正パッチの適用が最も有効
• ファイアーウォールも様々な種類や対策がある