こんにちは、インフラサービスチームの吉野です。

先日、米AppleはiOS、iPadOS、macOSに安全上の脆弱性があるとして、
修正版のセキュリティアップデートをリリースしましたが、
みなさんは既にアップデートされましたか？
今回は情報セキュリティにおけるリスクでも挙げられている“脆弱性”についてお話したいと思います。

“脆弱性”とは

脆弱性とは言葉の通り「脆くて弱いこと」です。
特に今回のAppleが発表したOSでの脆弱性のようなものは、
「ITシステムにおいての仕様上の欠陥やバグに起因する安全上の弱点（セキュリティホール）」と言えます。
ただしこれは狭義の意味での脆弱性であり、もっと広義の意味で言うと、
「パスワードを付箋でPCに貼る」であるとか、「災害に弱い立地に重要な情報を格納する」なども脆弱性と言えます。

脆弱性から引き起こされる脅威とは

では、今回のような脆弱性を放置しておくとどのような脅威があるのでしょうか？
大きく分けると、以下の３つの脅威につながります。
・意図的脅威
・偶発的脅威
・環境的脅威
今回はその中でも“意図的脅威”について見ていきましょう。
“意図的脅威”ですが、これは「悪意ある第三者によってもたらされる脅威」です。
盗難・盗聴や情報の改ざん・不正利用や、不正アクセス、ウイルス感染、なりすましなどがこれにあたります。

今回の米Appleが発表した内容では、「アプリケーションにカーネル権限を取得され、任意のコードを実行される可能性がある。」
とありますので、この脆弱性は意図的脅威に当たります。
意図的脅威への対策としては、
・OSやソフトウェアを常時最新版にすること
・ウイルス対策ソフトやセキュリティ装置の導入
・認証システムの導入
・データの暗号化
などがありますが、初期導入に時間やコストがかかるものも多いので、
まずは個人でできる対策として最低限OSやソフトウェアのアップデートを行うことはおすすめします。

最後に

情報セキュリティが損なわれると、会社の信用損失や損害賠償、倒産・廃業など、事業存続ができなくなることもあります。
そのためにはもちろん対策を講じることも必要ですが、その前に会社に従事する社員やパートナーさんなど、
関与する全員が情報セキュリティに対する意識を改め、常に脅威・リスクの情報をいち早く入手し、対処していく習慣を持つことが一番大事かもしれません。

参考文献
Apple社「iOS 15.6.1 および iPadOS 15.6.1 のセキュリティコンテンツについて」
https://support.apple.com/ja-jp/HT213412

IPA「情報セキュリティ10大脅威 2022」
https://www.ipa.go.jp/security/vuln/10threats2022.html

本ブログの感想や疑問、案件にまつわるお問い合わせは以下のフォームより募集しております。