■脆弱性(vulnerability)
システムが破壊されたり、情報が漏えいしたりするなどの保安上の脅威が発生する可能性のある、情報システムにおけるソフトウェアやハードウェアの欠陥や仕様上の不具合のこと。ソフトウェアの脆弱性については、セキュリティ仕様を満たさないものを「vulnerability」、仕様の上でセキュリティが満たされていないものを「Exposure(露出)」
とすることもあります。
一般に脆弱性の多くは、ソフトウェアのバグに起因します。バッファー・オーバーフローの脆弱性などは、設計段階で入出力パラメータの検証を省略していることが原因となっています。また、バグではないものの、予想しなかった利用形態などにより、潜在的な問題が脆弱性となることもあります。
このような脆弱性が見つかった場合、バグを直す修正プログラムなどが提供されます。システムの安全性を確保するためには、提供された修正プログラムを適用し、脆弱性を解消することが重要となります。
なお情報漏えいの脆弱性などは、システムの欠陥だけでなく、企業/組織/個人の行動規範の不整備などによっても発生します。また弱いパスワードなどの本人認証の回避問題や、Webサーバ・プログラムなどの設定ミスといったものも脆弱性となります。こうした脆弱性に対しては、セキュリティ・ポリシーを規定し、常にセキュリティ上の検証を行うことで、安全性を保つ必要があります。
|