ソフトのセキュリティ診断

 利用しているソフトウエアに脆弱性があると、悪質なWebページやファイルを開くだけで、ウイルスに感染する危険性などがある。このため、インストールしているソフトウエアの脆弱性をすべて解消しておくことが不可欠。

 例えばマイクロソフト製品については、「Microsoft Update」や「自動更新機能」を利用して脆弱性の有無をチェックし、修正パッチ(セキュリティ更新プログラム)を適宜インストールする。

 しかし、使っているのはマイクロソフト製品ばかりではないはず。多くのソフトウエアについては、脆弱性の有無を自分でチェックして、修正版へのアップグレードや修正パッチの適用をする必要がある。そのためには、ソフトウエアメーカー各社のWebサイトをじっくりと見て回らなければならない。なかなか大変な作業になりそうだ。

 その手間を省いてくれるのが、さまざまなソフトウエアの脆弱性を検索できる「JVN iPedia」(図7-1)。調べたいソフトの名称やキーワードを入力すれば、そのソフトで今までに見つかっている脆弱性の一覧が表示される。

図7-1●国産ソフトの情報が豊富
図7-1●国産ソフトの情報が豊富
情報処理推進機構(IPA)が運用する脆弱性対策情報データベース「JVN iPedia」。日本国内で利用されているソフトウエアの脆弱性情報を検索できる。国産ソフトの情報が充実していることが特徴。2007年12月7日時点で、4380件の情報が登録されている。

 さらに、脆弱性の発見日や危険度、影響を受ける製品のバージョンといった詳細情報を表示。修正版や修正パッチの入手先も記載されているので、開発元のサイトを見て回る必要がない。

 こういった脆弱性データベースはネット上に多数存在するが、そのほとんどは英語のサイト(図7-2)。「情報が早い」「カバーしている製品数が多い」「過去の情報が豊富」といった特徴があるものの、国内ユーザーとしては、日本語による情報提供が望ましい。

図7-2●海外にも有用なサイト
図7-2●海外にも有用なサイト
英語が苦にならなければ、海外のセキュリティベンダーが提供するWebサイトもお薦め。例えば、図左の米SecurityFocusや、図右のデンマークのSecuniaは情報が早く、蓄積されている過去の脆弱性が豊富。日本国内で主に利用されているローカルなソフトウエアの情報も押さえている。
[画像のクリックで拡大表示]

 また、対象製品は、国内で利用されている製品だけで十分であり、古い情報はそれほど必要ない。そのようなニーズに応えて2007年4月に公開されたのが、JVN iPediaと言えるだろう。

出典:日経パソコン 2007年12月24日号 69ページより
記事は執筆時の情報に基づいており、現在では異なる場合があります。