脆弱性
定義
脆弱性とはシステム・ソフトウェア・設定・運用プロセスに存在するセキュリティ上の弱点です。攻撃者がこれを「エクスプロイト」することで不正アクセスやデータ窃取が発生します。製品コードのバグ(CVE番号で識別)だけでなく、デフォルトパスワードの放置・不要ポートの公開・暗号化設定の誤り・過剰な権限設定といった「設定脆弱性」も含みます。2024年に公開されたCVEは4万件を超え、CVSS 9.0以上の「緊急(Critical)」も増加傾向にあります。対応は「スキャン→発見→優先付け(CVSSスコア+実際の悪用確認)→パッチ適用→確認」のサイクルで継続的に管理する必要があります。パッチがまだ存在しない「ゼロデイ脆弱性」に対しては、多層防御(EDRの異常検知・ネットワークセグメンテーション・攻撃対象領域の縮小)で被害を最小化するしかなく、最も危険な脆弱性クラスに位置づけられます。
詳細解説
脆弱性は製品リリース前から存在するものもあれば、設定ミスや運用上の問題で生じるものもあります。2024年に公開されたCVEは40,000件を超え、その管理は組織の優先課題です。パッチ適用の優先度はCVSSスコアと実際の悪用状況(KEV: Known Exploited Vulnerabilities)を組み合わせて判断します。
ポイント
- CVSSスコア 9.0以上(Critical)は原則として48〜72時間以内のパッチ適用が目安
- ゼロデイ脆弱性はパッチがない状態で悪用されるため多層防御が必須
- 脆弱性スキャナ(Nessus・OpenVAS)で定期的に自組織の脆弱性を把握する
- KEV(CISA既知悪用脆弱性リスト)に登録された脆弱性は最優先で対処
関連用語
同じカテゴリの用語(基礎概念)
情報セキュリティの3つの基本要素。機密性(Confidentiality)・完全性(Integrity)・可用性(Ava…
データを第三者が読めない形式(暗号文)に変換する処理。対称暗号(AES)と非対称暗号(RSA)がある。転送中データ(TL…
正当なユーザーが必要なときに情報やシステムにアクセスできる性質。冗長化・バックアップ・DDoS対策などで実現する。CIA…
情報が正確かつ改ざんされていない状態を保つ性質。ハッシュ関数・デジタル署名・チェックサムなどで実現する。CIA三原則のI…
許可された者だけが情報にアクセスできる性質。暗号化・アクセス制御・認証などの手段で実現する。CIA三原則のC。…
システムや情報に損害を与える可能性のある事象・行為・主体。自然災害・内部不正・外部攻撃者・マルウェアなどが含まれる。リス…