脆弱性

同じウイルス対策をしていても、なぜ侵入される組織とされない組織が分かれるのか——その分岐点になるのが脆弱性である。ソフトウェアのプログラムの不具合、古いバージョンの放置、初期パスワードのままの設定、誤ったアクセス権限など、攻撃の足がかりになる弱点を広く指す。脆弱性は日々新たに発見・公表されるため、一度対策すれば終わりではなく、修正プログラム（セキュリティパッチ）の適用や設定の点検を継続する必要がある。自治体の情報システムは住民の個人情報を大量に扱うことから、脆弱性を突いた侵入は重大な漏えい事故に直結する。VPN装置やネットワーク機器の脆弱性を悪用した侵入事例が相次いだことを受け、既知の弱点が残っていないかを洗い出す脆弱性診断や、防御の状態を点検する取り組みが重視されている。

脆弱性が生まれる原因と管理の考え方

脆弱性はおおまかに、プログラム自体の欠陥（バグ）、運用・設定の不備、組織・人の側の弱さの3つに由来する。プログラムの欠陥はベンダーが公表する修正プログラム（セキュリティパッチ）の適用で塞ぐのが基本だが、業務システムの停止を伴うため適用判断と検証に時間がかかり、その間が攻撃の窓になる。設定の不備は初期パスワードの放置・不要なサービスの稼働・過剰なアクセス権限などで、設計時のチェックと定期点検で防ぐ。脆弱性は一度なくしても新たに公表されるため、資産の棚卸し（情報資産台帳）と継続的な点検をセットで回す管理が前提になる。

脆弱性を見つける活動と委託先での扱い

潜む弱点を能動的に洗い出す代表的な手段が脆弱性診断で、ツールによる広い点検と、専門家が実際に攻撃を試みるペネトレーションテストに大別される。前者は既知の弱点が残っていないかを網羅的に確認し、後者は実際に侵入できるかを検証する。自治体ではシステムの構築・運用を事業者に委託することが多く、開発の段階で脆弱性が作り込まれていないか、納品物に既知の弱点が残っていないかを発注者の立場で確かめることが重要になる。委託先管理の一環として、診断の実施や脆弱性が見つかった場合の修正責任を契約・仕様で明確にしておく運用を契約段階で固めておくとよい。