こんにちは、IPAセキュリティセンターの大森です。
2月は情報セキュリティ月間です。今日はセキュリティの中でもとても大切な脆弱性（ぜいじゃくせい）のお話をします。

みなさんがお使いのパソコンの脆弱性対策は万全ですか？
この問いかけに自信を持って「はい」と答えられる人は意外に少ないのではないでしょうか？

そもそも、脆弱性とは何でしょうか？
脆弱性とは、第三者から攻撃される可能性のあるソフトウェアの設計の問題や作り込みの欠陥のことです。脆弱性があると、パソコンが乗っ取られたり、個人情報などの機密情報が盗まれる被害に遭う危険性があります。
ここのところ、新聞等のメディアで報道された国内外の防衛産業や政府機関などを狙ったサイバー攻撃やウイルスによる被害も、多くはこの脆弱性を悪用した攻撃なのです。

では、利用者の皆さんは脆弱性対策として、どのようなことを行えば良いでしょうか？
答えは、シンプルです。
パソコンにインストールされているソフトウェアを常に最新の状態にすることです。パソコンにインストールされているソフトウェアは次のように大きく2つあります。

　１）OSソフトウェア(Windowsなどの基本ソフトウェア)
　２）OS上で動作するアプリケーションソフトウェア

１）のOSソフトウェアについては、自動アップデート機能を有効にしておくだけで、常に脆弱性が対策された状態になります。
一方、２）のアプリケーションソフトウェアについては、自動アップデート機能のある製品も一部はありますが、多くは開発会社のウェブサイトをチェックし、必要に応じて脆弱性を解消した修正ソフトウェアに更新する必要があります。
これをパソコンにインストールされているソフトウェア１つ１つに対して、日々ウェブサイトなどをめぐり、チェックして行うことになります。
この作業は、インストールしているソフトウェアが1つや2つであれば大したことはありませんが、最近のパソコンには、多くの場合、ウェブブラウザ、メールソフト、文書作成ソフト、表計算ソフト、動画再生ソフト、圧縮・解凍ソフトなど10種近くのソフトウェアがインストールされています。
忙しい皆さんが、日々この作業を滞りなく行うことは、とても労力が要ります。

そればかりか、最近はソフトウェアの脆弱性を悪用した攻撃が増える傾向にあるのです。そのため各開発会社が修正ソフトウェアをリリースするペースが増えています。
下のグラフは、IPAで運営している脆弱性対策情報データベースJVN iPediaに登録されているオフィスソフトウェア製品の修正ソフトウェアのリリース数の記録です。グラフを見ていただければわかるように、修正ソフトウェアのリリース数は、毎年右肩上がりで、利用者の皆さんの脆弱性対策の負担も増大傾向にあると言えます。

 
（出典）IPA：脆弱性対策情報データベースJVN iPediaの登録状況 2011第3四半期

IPAでは、このような背景を受けて、一般の利用者の皆さんが簡単な操作でパソコンにインストールしているソフトウェアのバージョンが最新であるかをチェックできる「MyJVN バージョンチェッカ」を開発し、2009年11月から公開しています。

MyJVN バージョンチェッカは、以下に示すように「1. MyJVNのウェブページにアクセスし、ツールを起動し」、「2. 実行ボタンを押す」のたった2ステップの操作で皆さんのパソコンの主なソフトウェアが最新かどうかをチェックすることができます。

 
MyJVN バージョンチェッカ 利用イメージ

チェック結果は、「○」「×」「-」の形で表示されます。「×」と表示された場合は、脆弱性を含んでいる可能性のある古いバージョンであるため、最新バージョンへアップデートすることが必要です。また、MyJVNのウェブページ上で利用者が確実にアップデートを行えるようにバージョンアップ方法を紹介しています。

MyJVN バージョンチェッカ 実行イメージ

先に述べたように修正ソフトウェアは、リリースのペースが増える傾向にあります。MyJVNバージョンチェッカを利用して脆弱性対策のチェックを、できれば毎日１回、少なくとも週に１回は行うようにして下さい。

この他にも、いくつかの機能をご提供していますので、MyJVNについて詳しくは以下のURLをご覧ください。
http://jvndb.jvn.jp/apis/myjvn/

さて2月は情報セキュリティ月間です。情報セキュリティ対策推進コミュニティの情報セキュリティ月間企画「LovePC」でもMyJVNバージョンチェッカは紹介されています。是非見てください。

PCにセキュリティという名の愛を「LovePC」