脆弱性とは―読み方、意味、種類、評価方法、見つけ方

脆弱性とは、読み方は「きじゃくせい」ではなく「ぜいじゃくせい」。もろくて弱い性質や性格のこと。特に情報セキュリティでよく使われる言葉です。脆弱性の読み方、意味、種類、評価方法、見つけ方についての情報をまとめています。

▲記事トップへ

目次

この記事の目次です。

1. 脆弱性とは
2. 脆弱性の読み方
3. 脆弱性の意味
4. 脆弱性の種類
5. 脆弱性の識別方法、評価方法、見つけ方

更新履歴

1. 脆弱性とは

脆弱性とは、もろくて弱い性質や性格のこと。特に情報セキュリティでよく使われる言葉です。 まずは脆弱性ということばの意味をおさえていければと思います。

情報セキュリティにおける脆弱性とは

情報セキュリティでの脆弱性の意味は、設備や技術、管理・制度などの情報に関連したリスクの要因となる弱点や欠陥を意味します。

特に怖い脆弱性とは

特に怖い脆弱性としては、ゼロデイ脆弱性が挙げられます。

ゼロデイ脆弱性とは

ゼロデイ脆弱性とは、OSやミドルウェア、ライブラリなどの製品で脆弱性が見つかり、公表されているけれども修正パッチなどの対応策がないものをいいます。

対応策がない脆弱性

つまりゼロデイ脆弱性とは、対応策がない脆弱性をいいます。対応策が無い状態ということで怖い脆弱性というわけです。

2. 脆弱性の読み方

脆弱性の読み方は、「きじゃくせい」ではなく、「ぜいじゃくせい」です。読み方について簡単にまとめていきす。

脆弱性の読み方

脆弱性の読み方は、「ぜいじゃくせい」です。

気癪

なお、「きじゃく」には「気癪」という言葉があります。心配や驚きのために起こすしゃくのことをいうようです。

3. 脆弱性の意味

冒頭で、脆弱性とは、もろくて弱い性質や性格のこと。情報セキュリティ上の弱点や欠陥の意味と触れました。
意味をしっかりと捉えるため、脆弱性に関わる言葉の意味をまとめました。

脆弱とは

脆弱とは、身体や組織、器物などがもろくて弱いことです。

「脆弱さ」などと言ったりします。

脆弱性の別の言葉

脆弱性は英語で「Vulnerability（バルネラビリティ）」といいます。

その他に、「Security Hole（セキュリティホール）」という言葉も使われます。

Vulnerableの意味

英語のVulnerableの意味の説明です。

• someone who is vulnerable is easily harmed or hurt emotionally, physically, or morally.
• a place, thing, or idea that is vulnerable is easy to attack

セキュリティホール

セキュリティホールは、セキュリティの穴。脆弱性の俗にいった言葉です。

Shortcoming of a computer program that allows unauthorized hackers to gain access to a system or network, and to interfere with its operations and data.

4. 脆弱性の種類

情報セキュリティ関連の脆弱性の種類には、大きく設備面の脆弱性、技術面の脆弱性、管理面・制度面の脆弱性があります。脆弱性の種類について見ていきます。

4.1. 目に付く言葉は技術面の脆弱性

検索エンジンの結果などで目に付く脆弱性について見ていきます。どれも技術面に関連した脆弱性です。

IEの脆弱性

Internet Explorer（IE）の脆弱性とは、MicrosoftのWebブラウザであるInternet Explorerに存在する脆弱性のことをいいます。

OpenSSLの脆弱性

OpenSSLの脆弱性とは、暗号化通信（SSL／TLS）の機能を実装した、オープンソースのライブラリであるOpenSSLに存在する脆弱性のことをいいます。

OSの脆弱性

OSの脆弱性とは、OSのリリース後に設計ミスやプログラミングミスなどによる欠陥（バグ）が発見されることがよくあります。 これらのうちセキュリティリスクとなりうる欠陥（バグ）がOSの脆弱性です。

FREAK脆弱性

FREAK脆弱性とは、SSL/TLSの脆弱性を付いたFREAK攻撃を許す脆弱性のことをいいます。

4.2. 技術面だけではない脆弱性の種類と具体的な例

脆弱性の種類を見ていきます。脆弱性の種類は技術面だけではなく、技術面以外も把握して対策しないといけないです。

設備面の脆弱性

設備面の脆弱性とは、建物の構造上の欠陥、設備のメンテナンスの不備、入退室管理の不備などの設備面に関連した脆弱性です。

技術面の脆弱性

技術面の脆弱性とは、ネットワーク構成における欠陥、ソフトウェアのバグ、アクセス制御システムの不備、設定ミスなど技術面に関連した脆弱性です。

管理面・制度面の脆弱性

管理面・制度面の脆弱性とは、情報セキュリティに関する方針や規定の不備、機器や外部記憶媒体管理の不備、ユーザ教育やマニュアルの不備、インシデント対応計画の不備など管理や制度面に関連した脆弱性です。

脆弱性の種類は技術面だけではない

情報セキュリティにおける脆弱性とは、組織や情報システム、物理環境など、情報の取り扱いに関わる様々な構成要素の中にあり、情報漏洩や紛失、改ざんなどのリスクを発生しやすくしたり、拡大したりする要因となる欠陥です。

5. 脆弱性の識別方法、評価方法、見つけ方

一番危険な脆弱性の危険度がそのシステムや組織の危険度になり、脆弱性対策で脆弱性の評価は非常に重要です。脆弱性の識別方法、評価方法、見つけ方をまとめていきます。

脆弱性の識別子（CVE）

CVEは、Common Vulnerabilities and Exposuresを省略したもので、製品に含まれる脆弱性を識別するための識別子です。

CVEは米国政府の支援を受けた非営利団体のMITRE社が採番しています。

脆弱性の種類の識別（CWE）

CWEは、Common Weakness Enumerationを省略したもので、脆弱性の種類を識別するための共通基準です。

CWEでは、SQLインジェクション、クロスサイトスクリプティングなど、脆弱性の種類、脆弱性タイプの一覧を体系化して提供しています。

脆弱性の評価方法（CVSS）

CVSSは、IT関連の脆弱性の特徴とインパクトを採点するための仕組みです。

CVSSはCommon Vulnerability Scoring Systemの略です。つまり一言で言うと共通脆弱性評価システムです。 ベンダー依存の評価ではなく、脆弱性をみんなが共通の尺度で伝達しあえるようにする枠組みを提供しています。

詳細

脆弱性の見つけ方

コンピュータネットワーク関連の脆弱性の見つけ方には以下のようなものがあります。

• 検索エンジンで検索
• 公共の脆弱性DBで検索
• 診断ツールの使用
• スキャンツールの使用
• 人の目、目視での確認

なお、脆弱性を見つける際に使用する攻撃用のコードをエクスプロイトあるいはエクスプロイトコードと呼びます。

詳細

更新履歴

更新履歴になります。

• 2017/1/5　脆弱性の種類について追記しました。
• 2016/9/25　脆弱性の識別方法について追記しました。
• 2016/9/13　脆弱性の読み方について追記しました。
• 2016/5/31　記事をUPしました。

戻る