情報セキュリティ用語辞典


脆弱性(vulnerability)

情報セキュリティ分野において、通常、脆弱性とは、システム、ネットワーク、アプリケーション、または関連するプロトコルのセキュリティを損なうような、予定外の望まないイベントにつながる可能性がある弱点の存在、設計もしくは実装のエラーのことをいう。オペレーティングシステムの脆弱性である場合もあれば、アプリケーションシステムの脆弱性である可能性もある。また、ソフトウェアの脆弱性以外に、セキュリティ上の設定が不備な状態においても、脆弱性があるといわれることがある。俗に、セキュリティホール(security hole)と呼ばれることもある。

近年、ソフトウェアの脆弱性について、広い語感を与える vulnerability を整理し、予定されたセキュリティ仕様を満たさないものを狭義の vulnerability とし、仕様上のセキュリティの欠如を Exposure (露出)として区別する動きがある。

このほかにも、広義には vulnerability もしくは security hole と呼ばれながらも、ソフトウェア自体の問題ではない論点には、弱いパスワード等の本人認証の回避問題、設定ミスによる問題がある。