脆弱性 【vulnerability】 バルネラビリティ

概要

脆弱性(vulnerability)とは、コンピュータソフトウェアネットワークなどが抱える保安上の弱点。システムへの損害や不正な操作、情報の盗み取りや改竄など、管理者や利用者にとって脅威となる行為に悪用できる可能性のある欠陥や、仕様・設計上の不備のこと。

例えば、ソフトウェアバグプログラムの誤り)があり、正当な利用権限がなくてもコンピュータを遠隔から任意に操作可能になってしまう場合がある。外部の攻撃者はこれを悪用することでシステムを乗っ取ることができてしまう。このような弱点のことをセキュリティ上の脆弱性という。

最も一般的な脆弱性はソフトウェアの実装上の誤りや設計・仕様上の不備で、システムの利用権限の奪取や、重要なデータの抜き取りや消去・改竄コンピュータウイルスなど悪意あるソフトウェアマルウェア)の感染や活動、外部システムの攻撃の踏み台などに悪用される。

プログラムコードの記述ミスのような明白な誤りだけが脆弱性になるとは限らず、開発者が予想しなかった利用形態や設計段階での見落としなど、形式的には欠陥とはならない潜在的な問題点が脆弱性として後から認知される場合もある。

ソフトウェアの脆弱性は開発者が修正プログラムや修正済みの新バージョンなどを提供して後から修正することが多いが、半導体チップマイクロプロセッサなど)内部の回路や動作に脆弱性が存在する場合もあり、既存品の修正ができず装置の交換などが必要となる場合がある。

また、複数のシステム通信する際のプロトコル通信規約)や通信手順などの仕様が脆弱性となる場合もあり、規格の改訂などをわない限りソフトウェアの修正などでは対応できないこともある。

情報セキュリティ上の脆弱性となるのはコンピュータ側の問題だけでなく、機密情報の管理体制の未整備や行動規範の不徹底といった人間の振る舞いに関する問題や、施設の警備や設備の盗難対策の不備といった物理的な問題もある。

(2020.2.26更新)

他の辞典による解説 (外部サイト)

この記事を参照している文書など (外部サイト)

  • 経済産業省受託調査「コンピュータセキュリティ早期警戒体制の整備事業」日本ネットワークセキュリティ協会(JNSA)「情報セキュリティ教育の指導者向け手引書外部リンク」(PDFファイル)にて引用 (2007年10月)
  • 日本ネットワークインフォメーションセンター(JPNIC)「脆弱性の基礎知識外部リンク」(PDFファイル)にて引用 (2004年10月)
この記事の著者 : (株)インセプト IT用語辞典 e-Words 編集部
1997年8月より「IT用語辞典 e-Words」を執筆・編集しています。累計公開記事数は1万ページ以上、累計サイト訪問者数は1億人以上です。学術論文や官公庁の資料などへも多数の記事が引用・参照されています。