Tenable Tenable 技術ガイド - 脆弱性とは
0
脆弱性の種類 | 説明 | 脆弱性の例 |
---|---|---|
技術的脆弱性 | OSやソフトウェア、 アプリケーションなどの 技術的な欠陥 |
・OSやソフトウェア、プロトコルなどの欠陥やバグ ・アクセスコントロールの不備、マルウェア対策の不備 ・Webアプリケーションにおける脆弱性 |
組織的脆弱性 | 管理や承認プロセスなどにおける 組織的欠陥 |
・申請者と承認者が同じことによる権限乱用 ・権限者による不正行為 ・セキュリティポリシーや規定等の形骸化 |
人的脆弱性 | 人の心理や感情、行動などの弱さや甘さ | ・電話による詐欺、誘導尋問による機密情報の窃取 ・フィッシングメール、標的型メール ・メールの誤送信、情報セキュリティ意識の低さ |
物理的脆弱性 | オフィスや建物の設備などに存在する 物理的な欠陥 |
・耐震・防水・防火などの未対応 ・情報システムの冗長化の未対応 ・盗難や紛失に対する対策の不備 ・入退室管理の不備 |
重要な情報資産に情報セキュリティ上の脆弱性が残存している場合、情報資産が容易に侵害され、事業継続に致命的な影響が発生する場合があります。情報システムに対する脆弱性診断や運用プロセスにおける点検や監査などを実施することで、既知の脆弱性を確実に排除しておくことが推奨されます。
また、サイバーセキュリティ対策は技術的脆弱性を保護するための対策に焦点が当てられることが多いですが、情報セキュリティポリシーや運用ルールが形骸化していると、どんなに技術的脆弱性に対する対策を推進しても、その対策の効果は望めません。脆弱性は技術的な観点だけではないため、人的、組織的、物理的な観点を踏まえて、包括的な脆弱性の保護を意識することが重要になります。