脆弱性
脆弱性
別称: セキュリティ上の弱点, セキュリティ欠陥
定義
システム、アプリケーション、または運用プロセスに存在する弱点で、攻撃者が機密性・完全性・可用性を侵害するために悪用できるもの。
脆弱性とは、コード・設定・設計・運用慣行に存在し、悪用されれば情報システムのセキュリティを損なう可能性のあるあらゆる欠陥や弱点を指します。原因はソフトウェアのバグ(メモリエラー、入力検証の欠如)、誤った設定、弱い認証情報、設計上の見落とし、未修正の依存ライブラリなど多岐にわたります。CVE などの識別子で公的にカタログ化され、CVSS や EPSS によりスコア付けされて修正の優先順位付けに用いられます。管理には継続的な発見(スキャン、SAST/DAST)、リスクに基づく優先順位付け、パッチ適用や代替策の実施、修正の有効性検証が必要です。
例
- リモートコード実行を許す既知 CVE を含む未修正のライブラリ。
- 顧客データを公開してしまう設定不備の S3 バケット。
関連用語
CVE(共通脆弱性識別子)
公開された各ソフトウェア・ハードウェア脆弱性に一意の識別子を付与し、業界全体で曖昧さなく参照できるようにする公的カタログ。
CWE(共通脆弱性タイプ一覧)
脆弱性を生み出す根本的な欠陥カテゴリを分類した、コミュニティ主導のソフトウェア・ハードウェア弱点タイプの分類体系。
CVSS(共通脆弱性評価システム)
FIRST が維持するオープンなフレームワークで、脆弱性の悪用特性と影響に基づき 0〜10 の深刻度スコアを算出する。
エクスプロイト
脆弱性を悪用して、コード実行・権限昇格・情報漏えいなど意図しない動作を引き起こすコード、データ、または手法。
ゼロデイ脆弱性
発見または悪用された時点でベンダーが未認知、あるいはパッチがまだ存在しないセキュリティ上の欠陥。
脆弱性評価
通常は実際の悪用を伴わずに、環境内のセキュリティ上の弱点を体系的に特定・分類・優先順位付けする調査。