脆弱性とは何ですか？

ソフトウェアやシステムに存在する設計・実装上の欠陥で、攻撃者に悪用されるおそれがあるもの。セキュリティホールとも呼ばれる。

脆弱性のポイントは？

バグや設計ミスが原因で、意図しない操作や情報漏えいを引き起こす可能性がある欠陥。発見されたら速やかにパッチ（修正プログラム）を適用するのが基本対策。CVE番号（例：CVE-2024-XXXX）で世界共通に管理・識別される。修正前に攻撃に使われた場合は「ゼロデイ攻撃」と呼ばれ特に危険

【ぜいじゃくせい】

脆弱性とは？

💡 ソフトウェアに潜む「鍵のかかっていない裏口」

📌 このページのポイント

バグや設計ミスが原因で、意図しない操作や情報漏えいを引き起こす可能性がある欠陥
発見されたら速やかにパッチ（修正プログラム）を適用するのが基本対策
CVE番号（例：CVE-2024-XXXX）で世界共通に管理・識別される
修正前に攻撃に使われた場合は「ゼロデイ攻撃」と呼ばれ特に危険

脆弱性のリスク構造のイメージ

ひよこ

脆弱性ってニュースでよく聞くけど、バグと何が違うの？

ペンギン先生

バグは「プログラムが意図通りに動かない問題」全般を指すけど、脆弱性はその中でも「セキュリティ上の悪用ができる欠陥」に絞った言葉だよ。

ひよこ

どんなものが脆弱性になるの？

ペンギン先生

例えばパスワードを確認せずにログインできてしまう処理や、入力値をそのまま実行してしまうコード、古いバージョンの暗号方式を使っているライブラリなど色々あるよ。

ひよこ

見つかったらどうすればいいの？

ペンギン先生

ソフトウェアのメーカーや開発者が修正プログラム（パッチ）を作って配布するから、ユーザー側はそれを速やかに適用するのが基本だよ。「アップデートは面倒」と後回しにしていると、その間に攻撃されるリスクがあるんだ。

ひよこ

CVEって番号で管理されてるって聞いたけど？

ペンギン先生

そう、CVE（Common Vulnerabilities and Exposures）という世界共通の識別番号だよ。「CVE-2024-1234」みたいな形で、どの脆弱性かを一意に特定できる。セキュリティ情報を調べるときに使う番号だよ。

ひよこ

脆弱性を発見した人はどうするの？勝手に公開しちゃダメ？

ペンギン先生

「責任ある開示（Responsible Disclosure）」というルールがあって、まず開発者やメーカーに非公開で報告して修正の時間を与えてから公表するのが一般的な倫理とされてるよ。いきなり公開すると修正前に悪用されてしまうからね。企業によっては発見報告に報奨金（バグバウンティ）を出す制度も広まってるんだ。

まとめ：ざっくりこれだけ覚えればOK！

脆弱性って出てきたら「ソフトウェアに潜む攻撃に使われうる欠陥・弱点」と思えばだいたいOK！

📖 おまけ：英語の意味

「Vulnerability」＝傷つきやすさ・弱さ

💬 ラテン語「vulnerabilis（傷を負わせられやすい）」が語源。ITでは「システムの弱点」を指すよ

← 用語集にもどる

脆弱性 とは？

脆弱性とは？