クラウドストライク2026年版グローバル脅威レポートエグゼクティブサマリー:AI時代に必読の脅威インテリジェンスレポート
ダウンロード

サイバーセキュリティにおける脆弱性とは

サイバーセキュリティにおける脆弱性とは、ソフトウェア更新の見逃しやシステムの設定ミスなど、サイバー犯罪者がITリソースを侵害し、攻撃パスを進めるために悪用する可能性のある、ホストやシステムにおける弱点です。

サイバー脆弱性の特定は、組織がサイバーセキュリティポスチャ全体を改善および強化するために実行できる、最も重要なステップの1つです。

脆弱性、脅威、リスクの違い

多くの人が、脆弱性、脅威、リスクという用語を、意味の区別なく使用しています。ただし、サイバーセキュリティの世界では、これらの用語には明確な特定の意味があります。

前述のように、脆弱性とは、悪意のあるアクターによって悪用される可能性のある弱点です。例えば、パッチが適用されていないソフトウェアや権限過剰なアカウントは、サイバー犯罪者がネットワークにアクセスし、IT環境内で足場を築くためのゲートウェイを提供する可能性があります。

脅威とは、セキュリティの脆弱性を悪用する可能性のある悪意のある行為です。

リスクとは、サイバー脅威が脆弱性を悪用したときに発生する事象です。これは、サイバー攻撃が発生したときに組織が受ける可能性がある損害を表します。

7つの一般的なサイバー脆弱性の種類

会社のサイバーセキュリティポスチャとアプローチを見直す際には、サイバーセキュリティの脆弱性がサイバー犯罪者ではなく組織の制御範囲内にあることを自覚することが重要です。これは、企業が適切な措置を講じ、適切なツール、プロセス、手順を採用することで、事前に対処し、管理することができるという、サイバーセキュリティランドスケープの一側面です。

7つの最も一般的なサイバー脆弱性の種類と、組織がそれらを無効化する方法を以下で説明します。

1. 設定ミス

設定ミスは、クラウドとアプリケーションのセキュリティの両方における最大の脅威です。多くのアプリケーションセキュリティツールでは手動設定が必要なため、このプロセスでエラーが多発し、管理と更新にかなりの時間がかかる可能性があります。

近年、公表された多数の侵害は、エントリポイントとして使用されたS3バケットの設定ミスから始まりました。これらのエラーは、クラウドワークロードを、単純なWebクローラーで簡単に発見できる明白な標的に変えてしまいます。クラウド内に境界セキュリティが存在しないことで、設定ミスによって引き起こされるリスクがさらに悪化します。

これを解決するには、組織でセキュリティツールとテクノロジーを導入し、設定プロセスを自動化して、IT環境内で人為的エラーが発生するリスクを軽減することが重要です。

詳細

企業がストレージやコンピューティングにクラウドホスティングを利用するようになると、クラウドサービスへの攻撃のリスクも高まります。プロアクティブな防御は、必須の修復よりも常に優先されます。

クラウド固有の脆弱性とその防御方法についてお読みください

2. セキュアでないAPI

もう1つのよくあるセキュリティの脆弱性は、セキュアでないアプリケーションプログラミングインターフェース (API) です。APIは、アプリケーションやアプリケーションのコンポーネントがインターネットやプライベートネットワークを介して相互に通信することを可能にするデジタルインターフェースを提供します。

APIは、組織においてパブリックIPアドレスを持つ数少ないアセットの1つです。適切かつ十分なセキュリティで保護されていない場合、これらが攻撃者にとって格好の侵害の標的となるおそれがあります。

設定ミスと同様に、APIのセキュリティ保護は人為的ミスが発生しやすいプロセスです。悪意があることは稀ですが、ITチームは単純にこのアセットに特有のセキュリティリスクを認識しておらず、標準のセキュリティ制御を利用しています。セキュリティ意識向上トレーニングを実施して、シークレットの保存方法、キーのローテーション方法、ソフトウェア開発中の適切なITハイジーンの実践方法など、クラウド特有のセキュリティのベストプラクティスについてチームを教育することが、クラウドおいても従来の環境と同様に重要です。

3. 古いソフトウェアまたはパッチが適用されていないソフトウェア

ソフトウェアベンダーは、新機能を追加するため、または既知のサイバーセキュリティの脆弱性にパッチを適用するために、アプリケーションの更新を定期的にリリースします。パッチが適用されていないソフトウェアまたは古いソフトウェアは、高度な技術を持つサイバー犯罪者の格好の標的となりがちです。システムの設定ミスと同様に、攻撃者はこのような悪用できる弱点を探しています。

ソフトウェアの更新には有用かつ重要なセキュリティ対策が含まれていますが、ネットワークとすべてのエンドポイントを更新する責任は組織にあります。

残念ながら、さまざまなソフトウェアアプリケーションの更新が日々リリースされ、多くのITチームは業務量が多すぎるので、更新やパッチの適用をスケジュールどおりに行えなかったり、新しいリリースを完全に忘れたりすることがよくあります。1台のマシンでも更新し忘れた場合、ランサムウェア、マルウェア、その他のセキュリティ脅威のホストに対する攻撃パスとなり、組織にとって悲惨な結果をもたらすおそれがあります。

この問題に対処するためには、組織はソフトウェアの更新とパッチ適用を優先的に行うプロセスを開発し、導入する必要があります。また、システムとエンドポイントを可能な限り最新かつ安全な状態に保つために、このアクティビティをできるだけ自動化する必要もあります。

4. ゼロデイ脆弱性

ゼロデイ脆弱性とは、脅威アクターによって発見されているが、企業やソフトウェアベンダーは気付いていないセキュリティ上の欠陥のことです。「ゼロデイ」という用語は、ソフトウェアベンダーがソフトウェアの脆弱性に気付いておらず、問題を修正するためのセキュリティパッチまたは更新を行った日数が「0」であったことに由来します。その間、この脆弱性は攻撃者に把握されていました。

ゼロデイ攻撃は検知が非常に困難であることから、企業にとって極めて危険です。ゼロデイ攻撃を効果的に検知して軽減するには、防御テクノロジーとサイバー攻撃時の徹底的な対応計画の両方を備えた協調的な防御が必要です。組織は、NGAV(次世代アンチウイルス)、EDR(エンドポイント検知・対応)、脅威インテリジェンスなどのテクノロジーを組み合わせた完全なエンドポイントセキュリティソリューションを導入することで、これらのステルス性イベントや損害を与えるイベントに備えることができます。

5. 脆弱なまたは盗まれたユーザー認証情報

多くのユーザーは、アカウントそれぞれに一意で強力なパスワードを作成できません。パスワードやユーザーIDを使い回したり、再利用したりすることで、サイバー犯罪者に悪用される可能性がさらに高まります。

脆弱なユーザー認証情報を最も頻繁に悪用するのが、ブルートフォース攻撃です。この攻撃では、脅威アクターがユーザー名と推測したパスワードの組み合わせをできるだけ多く体系的に試すことで、機密データやシステムにアクセスしようとします。アクセスに成功したアクターは、正当なユーザーを装ってシステムに侵入できます。攻撃者はシステム内でラテラルムーブメントし、バックドアを設置し、将来のサイバー攻撃で使用するシステムに関する知識を得ます。そしてもちろん、データを盗みます。

この特定のサイバーセキュリティの脆弱性に対処するために、組織は、一意の強力なパスワードの使用を義務付け、ユーザーにパスワードを定期的に変更するよう促す、明確なポリシーを設定して適用する必要があります。また、MFA(多要素認証)ポリシーの導入も検討する必要があります。MFAではユーザーを認証する際に、パスワードと指紋の両方またはパスワードと1回限りのセキュリティトークンの両方など、複数の認証形式を必要とします。

6. アクセス制御または不正アクセス

企業では、職務の遂行に必要なもの以上のアクセス権とアクセス許可が従業員に付与されていることがよくあります。これは、アイデンティティベースの脅威を増加させ、データ侵害の発生時に攻撃者がアクセスできる範囲を広げます。

この問題に対処するために、組織は最小特権の原則 (POLP) を導入する必要があります。POLPは、コンピューターセキュリティのコンセプトおよび手法で、ユーザーの業務に必要なタスクに基づいて制限されたアクセス権をユーザーに与えるものです。POLPは特定のシステム内で必要な権限が身元が確認された正規ユーザーのみに与えられていることを保証します。

POLPにより、組織でネットワークとデータアクセスを制御してモニタリングできるようになるため、この原則は、組織のサイバーセキュリティポスチャを強化するための最も効果的な実践の1つになると広く考えられています。

7.「責任共有モデル」(ランタイム脅威)の誤解

クラウドネットワークは、「責任共有モデル」と呼ばれるものに準拠しています。つまり、基盤となるインフラストラクチャの多くはクラウドサービスプロバイダーによって保護されています。ただし、組織はオペレーティングシステム、アプリケーション、データなど、他のすべての責任を負います。

残念ながら、この点が誤解され、クラウドのワークロードがクラウドプロバイダーによって完全に保護されているという想定につながることがあります。その結果、ユーザーは自覚がないままに完全に保護されていないワークロードをパブリッククラウドで実行することになり、攻撃者にオペレーティングシステムとアプリケーションを標的にしたアクセスを許すことになります。

クラウドを使用している組織やクラウドやハイブリッドの作業環境に移行しようとする組織は、サイバーセキュリティ戦略とツールを更新して、すべての環境ですべてのリスク領域が確実に保護されるようにする必要があります。従来のセキュリティ手法ではクラウド環境のセキュリティは提供されないため、クラウドベースの脆弱性や脅威に対する保護を強化するための補完策を講じる必要があります。

脆弱性管理とは

脆弱性管理は、エンドポイント、ワークロード、およびシステム全体のセキュリティの脆弱性を特定、評価、レポート、管理、および修復する継続的で定期的なプロセスです。

組織のIT環境内には多数のサイバーセキュリティの脆弱性が存在する可能性があるため、強力な脆弱性管理プログラムでは、脅威インテリジェンスとITおよび事業運営に関する知識を使用して、リスクに優先順位を付け、サイバーセキュリティの脆弱性にできるだけ早く対処します。

脆弱性管理ソリューションを探すうえで注意すべきこと

既知のサイバーセキュリティの脆弱性への露出を管理することが、脆弱性管理者の主な責任です。脆弱性管理はスキャンツールを実行するだけのものではありませんが、高品質の脆弱性ツールやツールセットによって、脆弱性管理プログラムの導入と継続的な成功を劇的に改善できます。

市場には多くの選択肢とソリューションが溢れ、いずれも品質が優れていることを謳っています。脆弱性管理ソリューションを評価するときには、次の点に注意してください。

適時性が重要。適切なタイミングで脆弱性を検知できない脆弱性管理ツールは、あまり有効でなく、全体的な保護に貢献しません。これは、ネットワークベースのスキャナーの一般的な弱点です。スキャンが完了するまでには長時間かかり、古い情報を即時に生成するためだけに、組織の貴重な帯域幅の大部分が消費されます。ネットワークではなく、軽量のエージェントを利用するソリューションを選択することをお勧めします。

エンドポイントに対するパフォーマンスの影響が重要。エージェントベースのソリューションを提供すると謳う脆弱性スキャンベンダーが増えています。残念ながら、これらのエージェントの大半はサイズが大きく、エンドポイントのパフォーマンスに非常に大きな影響を与えます。そのため、エージェントベースのツールを探す際には、生産性に対する影響を最小限にするために、エンドポイントでほとんどスペースを消費しない軽量のエージェントを探してください。

リアルタイムの包括的な可視性が重要。どこに脆弱性があるかを瞬時に確認できる必要があります。従来の脆弱性ツールは可視性を妨げる可能性があります。ネットワークのスキャンには長時間かかって古い結果が示され、肥大したエージェントによって事業の生産性が低下し、サイズの大きいレポートはセキュリティの脆弱性に適切なタイミングで対処するうえでほとんど役に立ちません。

過ぎたるは及ばざるがごとし。組織は、特別なスキルを持つ担当者が必要な、複雑なセキュリティツールやソリューションをもはや必要としていません。多くの組織が現在利用しているのは、脆弱性管理ツールとともに、サイバーハイジーン、EDR(エンドポイント検知・対応)、デバイスコントロールなどを行うためのその他のセキュリティツールが含まれている統合プラットフォームです。これは最終的に、システムが保護されていないことに起因する攻撃から組織を保護します。

クラウドストライクの脆弱性管理

CrowdStrike Falcon® Spotlight™は、ITアナリストが包括的な脆弱性の評価、管理、優先順位付けを行うための、スキャン不要ですぐに結果を確認できるソリューションを提供します。これは、CrowdStrike Falcon®プラットフォーム上に構築され、IT担当者が関連する脆弱性に対処するために利用できる、直感的なレポート、ダッシュボード、フィルターが用意されています。

Falcon Spotlightを使用すれば、組織の環境内で露出している脆弱性を確認し、会社にとって重大な脆弱性を簡単に優先順位付けできます。脆弱性と修復に優先順位を付けたら、Falconプラットフォームとの組み込みの統合を使用して緊急パッチを展開し、修復作業をモニタリングするためのカスタムダッシュボードを作成し、レポート、統合、APIを備えた外部ITワークフローを開始します。

主な利点には以下のものがあります。

  • ネットワークの内部または外部を問わず、すべてのエンドポイントでFalconセンサーを使用して脆弱性を自動的に評価
  • 環境内の脆弱性とサイバー脅威をリアルタイムで可視化して、対応時間を短縮
  • 直感的なダッシュボードを使用して組織に関係のある脆弱性データを取得するか、カスタムダッシュボードを作成
  • 統合されたエクスプロイトおよび脅威インテリジェンスによる優先順位付けで、貴重な時間を節約
  • 常時利用可能なオンデマンドの脆弱性データとパッチオーケストレーションで、セキュリティとITツールの間のギャップを埋める
  • Falconとのネイティブ統合により、重大なサイバーセキュリティの脆弱性に対する緊急パッチを開始

Falcon Spotlightを利用して、エンドポイントに影響を与えることなく、サイバー攻撃への露出を軽減するために必要な関連性が高い情報を適切なタイミングで取得する方法の詳細については、Spotlightの製品ページにアクセスし、データシートをダウンロードしてください。

ベイ・ワン(Bei Wang)は、クラウドストライクのシニアプロダクトマーケティングマネージャーとして、脆弱性とエクスポージャー管理を担当しています。サイバーセキュリティとエンタープライズITの分野で豊富な経験を持っており、テクノロジースタートアップ企業や、Rapid7、Akamai、Red Hatなどの大手テクノロジーベンダーで製品マーケティングの役職を担当してきました。サイバーセキュリティへのホリスティックアプローチや、脆弱性管理をわかりやすく提示することに取り組んでいます。同氏は、マサチューセッツ工科大学 (MIT) で電気工学の経営学修士号 (MBA) と修士号を取得しています。