サイバー攻撃や不正侵入などのセキュリティ・リスクが高まるなか、限られた負担でより効果的な対策を講じることが企業に求められている。本稿では、ソフトウェア製品に内在する脆弱性に着目し、対策アプローチとその有効性について考察する。
今日、多くの企業においてセキュリティ・リスクは経営課題として認識されつつあり、情報システムの脆弱性への対策が必要と言われている。脆弱性とは、プログラムの不具合や設計不備が原因となって発生する情報セキュリティ上の弱点である。脆弱性に気付かなかったり、あるいは気付いても放置したりすれば、情報資産/IT資産の備えるべき性質であるCIA(Confidentiality、Integrity、Availability:機密性、安全性、可用性)が脅かされ、損失のリスクが増すこととなる。
もともと脆弱性という言葉は、プログラムのバグや設計ミス(メモリリークなど)といった内在するシステム単独の問題点を指すことが多かった。しかし、昨今、サイバー攻撃や不正侵入といった外部に起因するインシデントが増加したことで、外部からの脅威に対する対策の不完全さとして脆弱性を認識する機会が増えている。外部の脅威は日々多様化し、巧妙化しており、これに連動して脆弱性もまた、新たに発見されたり、深刻度の評価が変わったりといったことが起こっている。企業は、一過性の対策ではなく、情報システムの脆弱性が動的に変化し続ける状況を見据えて、それに追随し続ける体制を構築することで抑止力を強化することが求められている。