脆弱性対策

脆弱性対策として最も有効なものは、メーカーの提供するOSやソフトウェアの最新版へのアップデートや修正パッチの適用です。

ただし、一度脆弱性を塞いでも、また新たな脆弱性が発見される可能性があるため、常にOSやソフトウェアの更新情報を把握し、できる限り迅速にアップデートを行うことが重要です。

ファイアーウォールで防ぐ

その他の脆弱性対策として、パソコンに標準搭載されているファイアーウォール機能やセキュリティソフトで提供しているファイアーウォール機能があります。

標準とセキュリティソフトのファイアーウォールの違い

セキュリティソフトに入っているファイアーウォールとパソコンに標準で搭載されているファイアーウォールは一体どう違うのでしょうか。

パソコンに標準搭載されているファイアーウォール

パソコンに標準搭載されているファイアーウォールは通信を行うポートの管理を主に行っています。
ポートとは、パソコンと外部をつなぐ通信の出入り口のようなもので、通信の種類によってパソコンのポートは0~65535に番号が与えられ○番ポート、という形で管理されています。 これらのポートの内、80番ポート(WEBを閲覧する場合に使うポート)と443番ポート(暗号化通信に使うポート)以外を閉じることで、外部からの侵入を防いでいます。 しかし、多くの攻撃は80番ポート443番ポートやアプリケーションなどの脆弱性を狙って行われることが多い為、セキュリティソフトによる強化が必要となります。

セキュリティソフトのファイアーウォール

セキュリティソフトに入っているファイアーウォールは、下記の3つの対策に分けられます。

  • ドライバ・アプリケーション自動アップデート機能 侵入される脆弱性をなくすという視点から、各アプリケーションやドライバのアップデートを自動で適応し、常に最新の状態を保つことで脆弱性を塞ぎ、侵入を防止します。
  • IDS(侵入検知システム)機能 全ての通信を監査することで、不正な侵入や不審な通信を検知します。全ての通信を監査する為、動作が重くなることが欠点として挙げられます。また、IDS機能は検知することを目的としているため、遮断することはできません。
  • IPS(侵入防御システム)機能 全ての通信を監査することで、不正な侵入や不審な通信を検知し、遮断します。こちらも全ての通信を監査する為、動作が重くなることが欠点として挙げられます。

ただし、残念ながらゼロデイ攻撃に対してはどの方法でも守ることができないのが現状です。上記の3つの対策は製品によってどれか1つが採用されていることが多いので、自分の環境にあったセキュリティソフトを選択しましょう。

まとめ

  • 脆弱性対策は最新版へのアップデートや修正パッチの適用が最も有効
  • ファイアーウォールも様々な種類や対策がある