ICDロゴ

脆弱性 (vulnerability/flaw)

【ゼイジャクセイ】

最終更新日: 2006/02/06

 システムが破壊されたり、情報が漏えいしたりするなどの保安上の脅威が発生する可能性のある、情報システムにおけるソフトウェアやハードウェアの欠陥や仕様上の不具合のこと。ソフトウェアの脆弱性については、セキュリティ仕様を満たさないものを「vulnerability」、仕様の上でセキュリティが満たされていないものを「Exposure(露出)」 とすることもある。

 一般に脆弱性の多くは、ソフトウェアのバグに起因する。バッファ・オーバーフローの脆弱性などは、設計段階で入出力パラメータの検証を省略していることが原因となっている。また、バグではないものの、予想しなかった利用形態などにより、潜在的な問題が脆弱性となることもある。

 このような脆弱性が見つかった場合、バグを直す修正プログラムなどが提供される。システムの安全性を確保するためには、提供された修正プログラムを適用し、脆弱性を解消することが重要である。

 なお情報漏えいの脆弱性などは、システムの欠陥だけでなく、企業/組織/個人の行動規範の不整備などによっても発生する。また弱いパスワードなどの本人認証の回避問題や、Webサーバ・プログラムなどの設定ミスといったものも脆弱性となる。こうした脆弱性に対しては、セキュリティ・ポリシーを規定し、常にセキュリティ上の検証を行うことで、安全性を保つ必要がある。

Copyright (C) 2000-2007 Digital Advantage Corp.

アイティメディアの提供サービス

キャリアアップ