ezily

行政書士と脆弱性（サイバー攻撃）⑤

政書士と脆弱性（サイバー攻撃）⑤

脆弱性の種類は、CWE（共通脆弱性タイプ一覧）というデータベースに掲載されている。その他様々なデータベースがある。

リリース後のソフトウェアに新たな脆弱性が発見されてから、パッチ（修正用プログラム）が手元に届くまでにには次のようなパ２ターンがある。

①開発者や善意の第三者が未知の脆弱性を発見し、それが攻撃者に発見される前にパッチが開発され配信されれる。

②攻撃者がパッチを入手し、配信されたパッチを分析し、その脆弱性を特定し、その脆弱性を悪用するマルウェアを作成する。

脆弱性が公に明らかになった場合、対策に時間がかる。これを「ゼロディ期間」という。

にほんブログ村
[0回]
PR
行政書士と脆弱性（サイバー攻撃）④

行性書士と脆弱性（サイバー攻撃）④

ソフトウェア開発プロセスにおいて、脆弱性対策を明示的に取り入れる開発企業が増加している。

マイクロソフトは「セキュリティ開発ライフサイクル」（SDL）なるものを提唱している。実際SDLによってソフトウェア開発後、リリース後に発見される脆弱性が劇的に減少した。

ソフトウェアの脆弱性が問題なったきっかけは「Morris worm事件」（マルウェア）であった。この事件を契機にして、情報セキュリティに対処する国際機関（CERT/CERT)が設立されている。

その後、ソフトウェア開発企業に対処を促すためのメーリングリストBugTragが立ち上がっている。いわゆる脆弱性情報の管理体制が発足している。さらに脆弱性評価システム（CVSS）も立ちあがっている。

にほんブログ村
[0回]
行政書士と脆弱性（サイバー攻撃）③

政書士と脆弱性（サイバー攻撃）③

ソフトウェアの脆弱性が発見されたにも

係らずユーザーがアップデートなどの対策をとらずにいると、攻撃するためのコード（攻撃コード）が作られ、パソコンに簡単に侵入されてしまう。

具体的には

①銀行口座情報②WEBサイトの改ざん③サービス妨害などが発生

し社会的場信用が損なわれる。

何故、脆弱性が生まれてしまうのだろうか？代表的な理由に「開発工程」上の問題がある。

ソフトウェアの開発工程は

①要件定義

どのような機能を搭載するか

②設計

おもにインターフェースの設計、データ処理プロセスの設計

③実装

実際にプログラムを書く工程。誤った実装なされると、脆弱が生じてしまう。

④テスト

なんらかの不具合や脆弱性がないか検証する。

⑤運用

システムが利用している他社の製品に脆弱性が発見された場合、早急に修正するなどの対応をする。

にほんブログ村
[0回]
行政書士と脆弱性（サイバー攻撃）②

行政書士と脆弱性（サイバー攻撃）②

IT機器の脆弱性の主なものはソフトウェアなのである。

ソフトウェアには次のような種類がある。

①ファームウェア

　コンピュータなどのIT機器に内蔵されているハードウェアに最も近いソフトウェア。

②オペレーティンシステム（OS）

　コンピュータの自体の基本的管理・制御を行う。

③ミドルウェア

　多くのアプリケーションが共通に利用する機能をひとまとめにしたソフトウェア。

④アプリケーション

　特定の作業を目的したソフトウェア。

ソフトウェアの脆弱性とは、ソフトウェアに存在する第三者が利用可能な欠陥のことである。アップデートしないで放置すれば、コンピュータに侵入され情報が抜き取られるなどの被害を被る。

にほんブログ村
[0回]
行政書士と脆弱性（サイバー攻撃）①

行政書士と脆弱性（サイバー攻撃）①
私たちは脆弱性に囲まれている。
IT技術の高度化とIT機器の（ノートパソコン、スマートフォン、タブレット端末、プリンター、無線LAN,IP電話等増加によって、また、もともとIT機器でなかったもの（テレビ、冷蔵庫、車等）がIT機器になった物もある。いわゆるIOT（モノのインターネット化）である。
もちろん、ATM,POS端末、病院で使用する医療機器、電力、水道、ガスなどインフラもインターネットで遠隔操作がされている。
　つまり、現在我々は、いつのまにかIT機器に囲まれている＝脆弱性に囲まれている状態になってしまったのである。IT化が急速な進展に伴い、我々行政書士は、好むと好まざるにかかわわらず脆弱に囲まれて仕事しなければならなくなった。

https://note.com/osaka_gyosei/n/na268e61d968c
（大阪府行政書士会のデジタル化の取り組みについて　Vol.1）

にほんブログ村
[0回]