脆弱性 ぜいじゃくせい
簡単に言うとこんな感じ!
ソフトウェアや機器の「鍵のかかっていない裏口」みたいなものだよ!攻撃者がそこを突くと、不正アクセスや情報漏えいが起きちゃうんだ。家の鍵穴が壊れてたら早めに直すよね?ITも同じで、見つけたら早急に「パッチ(修正プログラム)」を当てるのが鉄則ってこと!
脆弱性とは
脆弱性(ぜいじゃくせい)とは、ソフトウェア・OS・ネットワーク機器などに存在する設計・実装上の欠陥や不備のことです。英語では Vulnerability(バルネラビリティ) と呼ばれ、「セキュリティホール」とも言われます。この欠陥を悪用されると、不正アクセス・情報漏えい・システム破壊といった深刻な被害につながります。
脆弱性はソフトウェアのバグや設定ミスによって生まれることがほとんどで、開発者も意図せず作り込んでしまうものです。重要なのは「脆弱性はゼロにできない」という現実を受け入れ、発見したらすぐに対処する運用体制(脆弱性管理)を整えることです。
企業のシステム担当者にとっては、「自社のシステムにどんな脆弱性があるか」を把握し、優先順位をつけて修正していくことが日常的な業務になります。放置すると、サイバー攻撃の踏み台にされたり、個人情報保護法違反のリスクを抱えたりすることになります。
脆弱性の種類と深刻度
脆弱性はその性質によって以下のように分類されます。
| 種類 | 説明 | 具体例 |
|---|---|---|
| バッファオーバーフロー | 想定外のデータ量を送り込みシステムを誤動作させる | OSやブラウザの古い実装 |
| SQLインジェクション | データベースへの不正命令を入力欄から仕込む | Webフォームへの攻撃 |
| XSS(クロスサイトスクリプティング) | 悪意あるスクリプトをWebページに埋め込む | ログイン情報の盗取 |
| 設定ミス(Misconfiguration) | デフォルトパスワードや不要なポート開放 | クラウドの公開設定ミス |
| ゼロデイ脆弱性 | パッチ未提供の未知の欠陥 | 発見直後の攻撃 |
深刻度スコア「CVSS」
脆弱性の危険度は CVSS(Common Vulnerability Scoring System) というスコアで数値化されます。0.0〜10.0の範囲で表され、9.0以上は「緊急(Critical)」として即時対応が必要とされます。
| スコア | 深刻度 | 対応の目安 |
|---|---|---|
| 9.0〜10.0 | 緊急(Critical) | 即日〜数日以内にパッチ適用 |
| 7.0〜8.9 | 重要(High) | 数日〜1週間以内 |
| 4.0〜6.9 | 警告(Medium) | 1ヶ月以内の計画的対応 |
| 0.1〜3.9 | 注意(Low) | 次回メンテナンスで対応 |
| 0.0 | なし(None) | 対応不要 |
覚え方:「脆弱性は家の鍵穴」
🔑 「鍵穴が壊れてたら泥棒が入れる」→ 脆弱性を放置するとハッカーが侵入できる
🔧 「鍵穴を修理する」→ パッチ(修正プログラム)を当てる
🕵️ 「家を点検する」→ 脆弱性診断・ペネトレーションテストを行う
歴史と背景
- 1988年 — 世界初のワーム「モリスワーム」がUNIXの脆弱性を突いてインターネット上に拡散。脆弱性が実害をもたらすことを世界が認識
- 1999年 — MITRE社が脆弱性の統一識別番号 CVE(Common Vulnerabilities and Exposures) を公開。世界中で同じIDで脆弱性を管理できるようになる
- 2005年 — CVSS(共通脆弱性評価システム) が登場し、深刻度の定量評価が標準化
- 2014年 — OpenSSLの重大脆弱性「Heartbleed」が発覚。全世界のWebサーバーの約17%が影響を受け、脆弱性管理の重要性が広く知られるきっかけに
- 2017年 — WannaCryランサムウェアがWindowsの脆弱性(EternalBlue)を悪用し世界150カ国以上に被害。パッチ適用の遅れがいかに危険かを示した
- 現在 — クラウド・IoT・コンテナなど対象が拡大し、SBOM(ソフトウェア部品表) による脆弱性管理が注目されている
脆弱性管理のライフサイクル
脆弱性への対応は「1回やって終わり」ではなく、継続的なサイクルで回すことが重要です。
主な脆弱性対応手段
| 手段 | 内容 | タイミング |
|---|---|---|
| パッチ適用 | ベンダーが提供する修正プログラムを当てる | 公開後できるだけ早く |
| ワークアラウンド | パッチがない場合の一時的な回避策(機能無効化など) | ゼロデイ時に有効 |
| WAF導入 | Webアプリケーションファイアウォールで悪用をブロック | 即時対応として |
| 脆弱性診断 | 専門ツール・業者によるスキャン | 定期的に実施 |
| ペネトレーションテスト | 擬似攻撃で実際に侵入できるか検証 | 年1回程度 |
関連する規格・RFC
| 規格・番号 | 内容 |
|---|---|
| CVE(MITRE) | Common Vulnerabilities and Exposures:脆弱性の統一識別番号体系 |
| NVD(NIST) | National Vulnerability Database:CVEをベースにCVSSスコアを付与した米国政府データベース |
| JVN(IPA/JPCERT) | Japan Vulnerability Notes:日本国内の脆弱性情報データベース |
| ISO/IEC 27001 | 情報セキュリティマネジメントシステム(ISMS)の国際規格。脆弱性管理を要求事項に含む |
| RFC 9116 | security.txtの仕様。脆弱性の報告先をWebサイトで示す標準フォーマット |