対象試験と出題頻度
詳細をクリックして確認
ITパスポート試験
情報セキュリティマネジメント試験
基本情報技術者試験
応用情報技術者試験
★★★★★
ランクS(必須・超頻出)
用語の定義
脆弱性とは、一言で言うと「システムやソフトウェアに存在するセキュリティ上の弱点・欠陥」のことです。
イメージとしては、「家の鍵が壊れていたり、窓に隙間があったりする状態」と同じです。
泥棒(脅威)がいても、家に弱点がなければ侵入されません。しかし、鍵が壊れていれば簡単に侵入されてしまいます。この「弱点」に当たるのが脆弱性です。「セキュリティホール」とも呼ばれます。
解説
脆弱性は、情報セキュリティにおけるリスク分析の基本要素の一つです。「情報資産」「脅威」「脆弱性」の3つを掛け合わせることでリスクの大きさが決まります。脆弱性には様々な種類があります。
- 技術的脆弱性: ソフトウェアのバグ、設定ミス、古いバージョンの使用、暗号化の不備など
- 人的脆弱性: セキュリティ意識の低さ、教育不足、パスワードの使い回しなど
- 物理的脆弱性: 入退室管理の甘さ、サーバールームの施錠不備、災害対策の不足など
- 管理的脆弱性: セキュリティポリシーの未整備、監査体制の不備、インシデント対応手順の欠如など
脆弱性が存在しても、それだけでは被害は発生しません。しかし、脅威(攻撃者や災害)が脆弱性を突くことで、情報資産に損害が生じます。そのため、脆弱性を早期に発見し、修正することがセキュリティ対策の要となります。
具体的な活用例・対策
脆弱性に対処するために、以下のような取り組みが行われています。
- 脆弱性診断・ペネトレーションテスト: システムに脆弱性がないか、専門家やツールを使って定期的に検査する
- セキュリティパッチの適用: OSやソフトウェアの脆弱性を修正するパッチを迅速に適用する
- 脆弱性情報の収集: JVN(Japan Vulnerability Notes)やCVEなどの公開情報をチェックし、自社システムへの影響を確認する
- セキュアコーディング: 開発段階から脆弱性を作り込まないよう、安全なプログラミング手法を採用する
- 構成管理: 使用しているソフトウェアのバージョンを管理し、サポート切れの製品を使い続けない
試験ではこう出る!
ITパスポート・情報セキュリティマネジメント試験・基本情報技術者試験・応用情報技術者試験のすべてで超頻出です。以下のキーワードとセットで覚えましょう。
【重要キーワード】
- 情報資産・脅威・リスク(リスク分析の3要素)
- セキュリティホール
- セキュリティパッチ・アップデート
- 脆弱性診断・ペネトレーションテスト
- JVN・CVE・共通脆弱性識別子
- ゼロデイ攻撃(未知の脆弱性を突く攻撃)
試験問題で「システムに存在するセキュリティ上の弱点」「攻撃者に悪用される可能性のある欠陥」といった記述があれば、それは「脆弱性」に関する記述です。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. 脆弱性に関する説明として、最も適切なものはどれでしょうか?
- A. 情報資産に損害を与える可能性のある要因や事象(攻撃、災害、ミスなど)のこと
- B. 脅威が実際に発生して損害をもたらす可能性とその影響度を評価したもの
- C. システムやソフトウェアに存在するセキュリティ上の弱点や欠陥のこと
正解と解説を見る
正解:C
解説:
脆弱性(Vulnerability)とは、システムやソフトウェア、組織の管理体制などに存在するセキュリティ上の弱点・欠陥のことです。「セキュリティホール」とも呼ばれ、攻撃者に悪用されると情報漏えいなどの被害につながります。
Aは「脅威(Threat)」、Bは「リスク(Risk)」の説明です。脅威は「攻撃する側」、脆弱性は「守る側の弱点」、リスクは「被害が発生する可能性」という関係を理解しておきましょう。
