こんにちはIPAセキュリティセンターのZousanです。

最低限の情報セキュリティ対策の第８回目は、「パソコンについて」です。（脆弱性の話）

Windows Updateというサービスをご存知でしょうか？これはマイクロソフト社のWindows OS（OS：オペレーティングシステム＊１）やアプリケーションソフトウェア（＊２）を利用しているパソコンに対して、通常1ヶ月に1回の間隔でセキュリティ上の問題の修正などを行うための更新プログラムを提供するインターネット上のサービスのことです。

OSやアプリケーションソフトウェアが持つセキュリティ上の問題点を修正することは、パソコンを安全に利用するためには必須ですので、更新プログラムが公開されたら速やかに適用しましょう。

（＊１）パソコンの基本動作に必要な機能を提供するソフトウェアです。
（＊２）例えば、Microsoft Office、Word、Excel、Outlookなどです。

マイクロソフト社以外のOSを利用しているパソコンの場合も、OSの提供元から定期的にあるいは随時セキュリティの更新プログラムが公開されますので、パソコンを安全に利用するために、速やかに適用しましょう。

ちなみに、ここに挙げたセキュリティ上の問題点を、情報セキュリティの分野では、脆弱性（ぜいじゃくせい）とかセキュリティホールと呼んでいます。脆弱性が悪用されると、遠隔操作でパソコンが他人に乗っ取られたり、コンピュータウイルスに感染させられたりする危険性があります。

こういった脆弱性に関する情報は、OSやアプリケーションを提供するベンダーが公開していますが、IPAでもJVN（Japan Vulnerability Notes：脆弱性対策情報ポータルサイト）を通じて情報発信しています。

最近では、Microsoft社を含むOSやアプリケーションソフトウェアのベンダーでは、更新プログラムをユーザがPCに速やかに適用できるように、自動更新の設定や、クリックひとつで更新できる方法を推奨しています。 

このような設定を実施することで、パソコンをより安全に利用することができますので、皆さんもOSやアプリケーションの更新の設定を確認して下さい。

さらにパソコンに入っているOSやアプリケーションが脆弱性を解消した最新の状態であるかを定期的に確認することもお勧めします。IPAでは、利用者の多いアプリケーションについて、最新の更新が適用されているかをチェックする"MyJVNバージョンチェッカ"というソフトウェアを下記のMyJVNのサイトを通じて無償で提供していますので、ぜひご利用ください。

JVN （Japan Vulnerability Notes：脆弱性対策情報ポータルサイト）

MyJVN （脆弱性対策情報収集ツール、バージョンチェッカ、セキュリティ設定チェッカ）

蛇足（ウンチク）ネタ

その1：Windows Updateはいつ公開されるのか？
マイクロソフト社のWindows Updateは、日本では毎月1回、第2火曜日の翌日の水曜日（第2水曜日ではありません）に公開されます。これは、米国での英語版のWindows Updateの公開が米国時間の第2火曜日に実施されるためです。確実にWindows Updateを適用するためにも、Windows Updateの公開日の情報を気に留めておくと良いと思います。

その2：リモートでコードが実行される？
マイクロソフト社のWindows Updateでは、脆弱性の影響として「リモートでコードが実行される」といった表現がされる場合があります。脆弱性が悪用されて、不正なプログラムによって不正な処理が実行されることです。この不正なプログラムが、パソコンの外から送り込まれるので、「リモートでコードが実行される」と表現しています。

例えば、利用者に気づかれずに、利用者がパソコンを起動するたびに動作する不正なプログラムが仕込まれたり、利用者の大切な情報を盗み出すプログラムが仕込まれたりします。最悪の場合は、OSそのものが破壊される場合もあります。コンピュータウイルスに感染させる処理が実行される場合もあります。「リモートでコードが実行される」という表現は、英文の”Remote Code Execution”から訳されたものです。
セキュリティの更新プログラムが提供されたら速やかにパソコンに適用するようにしましょう。

ということで、今日は、以下の自社診断をしてみて下さい。

自社診断シートは以下のサイトにあります

中小企業向け 情報セキュリティ対策