脆弱性ぜいじゃくせい

概要

脆弱性とは、セキュリティ上の欠陥のこと。セキュリティホールとも呼ばれる。コンピュータやソフトウェアにおいて発生するもので、プログラムの設計ミスや不具合が原因となって発生する。

脆弱性を放置しておくと、コンピュータウイルスの侵入や不正アクセスが起こるなどの危険性がある。

脆弱性は常に発見され、その都度対策がとられる。たとえば、WindowsのWindows Updateは、新たに発見された脆弱性への対応策としての役割がある。

脆弱性は、発見されてから修正プログラムが提供されるまでに期間が空く。発見されたものの、未対応な脆弱性のことをゼロデイ脆弱性という。

特徴

ソフトウェアやOSを提供する企業側は、いくつものテストを行い、製品に脆弱性がないかをチェックした上で提供を開始している。しかし、どんなにテストを行っても完全に脆弱性をなくすことは難しく、新たな脆弱性も発見され続ける。

脆弱性は、どうしても発生してしまうものであり、悪用にもつながりうる。そこで、悪用を防ぐために、不具合を見つけたユーザーに報奨金を支払う「脆弱性報奨金制度」が設けられることがある。

利用されるシーン・解決できる課題

脆弱性は、システムやソフト上の欠陥であるため、新たに脆弱性が見つかった場合には、情報公開されるのが一般的だ。発見された脆弱性を公開すると、修正プログラム開発までのすきをついた攻撃（ゼロデイ攻撃）を受けやすくなる危険性はあるが、ユーザー側への警告ともなる上、修正プログラムができるまでの間に行うべきない行動も周知できる。

独立行政法人の情報処理推進機構（IPA）が、脆弱性について、その深刻度を評価する基準となる「共通脆弱性評価システム（CVSS）」を作成している。