脆弱性(英:Vulnerability)をわかりやすく言うと、
情報システムなどの内部に
もろくて弱い部分や欠陥があること
を意味する。
間違って「きじゃくせい」と読まれることがあるが、正しい読みは「ぜいじゃくせい」である。
元々、脆弱は「身体・組織・器物などがもろくて弱いこと」を意味する言葉だが、現代においては、コンピューターシステムやソフトウェア、ハードウェア、ネットワーク、データなどの情報システムにおいて、意図しないアクセスや攻撃を受けやすくなっている状態を指す言葉として使われることがほとんどである。
ほぼ同義の言葉としては、セキュリティーホールがある。
・脆弱性の発生
脆弱性は、コンピューターシステムやソフトウェア、ハードウェア、ネットワーク、データなど、あらゆる情報システムに存在する可能性がある。
脆弱性の発生原因は様々であり、システムの仕組みが複雑であればあるほど、それらに使われるプログラムやプロセスは複雑化するため、その分、脆弱性が発生する可能性は高くなる。
例えば、ソフトウェアやシステムの欠陥、設計の問題、実装の問題、運用や管理の問題、さらにはメンテナンス時の人為的なミスや不注意などが考えられる。
具体的には、セキュリティアップデートが不十分なまま運用されているシステムや、不正なアプリケーションがインストールされたデバイスなどが脆弱性の有力候補として挙げられる。
特に、所有者の多いスマホやタブレットといったモバイル機器にも潜在的な脆弱性がある可能性が高く、androidやiOSなどのモバイルOSの脆弱性を狙った攻撃が多いのも事実である。
・脆弱性を突いた攻撃の危険性
ハッカーやクラッカーなどの攻撃者たちは、脆弱性を突いて不正アクセスを行い、悪意ある攻撃をしてくることがある。
例えば、情報漏洩、盗難、改ざん、または破壊などの被害を引き起こすこともある。
ドラマや映画などのフィクション作品で、ハッカーによる攻撃で大規模な停電や交通網の混乱などを引き起こしたりするなどといった話があるが、こういったことも決してありえないことではない。
つまり脆弱性は、攻撃者にチャンスを与えてしまっている重大なセキュリティ上の弱点と言える。
・脆弱性に対する対策
脆弱性に対する対策として、セキュリティー専門家やシステム管理者、ソフトウェア開発者などが常に監視し、適切に対応していくことが肝要である。
脆弱性を減らすためには、情報システムに対して継続的に監視を行い、必要に応じてアップデートやパッチを適用し、適切なセキュリティポリシーやアクセス制御を実施する必要がある。
また、脆弱性スキャンやペネトレーションテストなどのセキュリティ評価を行うことで、潜在的な脆弱性を特定し、対応策を講じるという事前対応も必要である。
情報システムのセキュリティは、企業のみならず個人でも重要な責任であり、情報漏洩やデータの盗難、不正利用などが起こるリスクを減らすために、脆弱性対策は欠かせないものである。
関連項目
セキュリティーホール
