相次いだ脆弱性問題から学ぶべきこと

2014年の春を迎えてからというもの、企業ITに影響を及ぼす脆弱性問題が相次いで発覚している。いずれもWebにまつわるオープン・スタンダード技術が対象であり、その影響の範囲が極めて広い点で共通している。一連の脆弱性問題は、Webへの依存度がますます高まると予想される今後も、繰り返し起こることが想定される。企業のIT管理者には、適切な情報収集と顧客に対する情報発信が求められる。

相次いで発覚した脆弱性問題

2014年4月、企業ITに重大な影響を及ぼすと見られる脆弱性が3件、立て続けに問題となった（図1）。その皮切りとなったのは、4月初旬に発覚したオープンソースの暗号化ソフト「OpenSSL」の脆弱性（俗にHeartbleedと呼ばれる）である。次いで同月下旬には、3月に修正プログラムが提供されたWebアプリケーション・フレームワーク「Apache Struts 2」の脆弱性が未解決であることが明るみとなった。ほぼ時を同じくして、WebブラウザのInternet Exploler（IE）にも脆弱性が発覚した。IEは、一般ユーザーも多く利用するクライアント・ソフトであることから、テレビのニュース番組でも大々的に報じられた。これらの問題が一気に噴出したことで、大型連休中に対応に追われたというIT管理者、セキュリティ管理者も少なくなかったのではなかろうか。

一連の脆弱性問題は、それぞれ性質は異なるものの、いずれもWebと関連が強く、しかもオープン・スタンダードとして認知されているソフトウェアから発覚したという点で共通している。Webテクノロジが、企業ITの世界でもシステム開発の効率化や低コスト化などの面で大きな恩恵をもたらしていることは言うまでもないが、その負の側面として、リスクが明るみに出たときの影響度が広範囲に及ぶということは、企業としても改めて認識しておく必要があるだろう。

今回のような問題は、クラウドサービスの提供基盤として、あるいは一般企業のマーケティング・ツールとして、Webの存在感がますます高まるであろう今後に向けて、繰り返し起こると覚悟しておかなければならない。

図1．発覚した脆弱性問題の概要