脆弱性とは―読み方、英訳、意味、種類。

トップ 情報処理の知識体系 テクノロジ系 技術要素 セキュリティ 情報セキュリティとは 脆弱性

脆弱性とは、もろくて弱い性質や性格を意味する言葉です。読み方は「ぜいじゃくせい」、英訳は「vulnerability」です。特に情報セキュリティでよく使われる言葉です。情報セキュリティにおける脆弱性の意味、種類についてまとめています。

▲記事トップへ

以下では、情報システムの情報セキュリティに関する欠陥、企業、組織、個人に対する行動規範の不徹底、未整備という脅威に対する不備などの脆弱性に関する知識について見ていきます。

目次

この記事の目次です。

1. 脆弱性とは
2. バグ
3. セキュリティホール
4. 人的脆弱性
5. シャドーIT
6. 脆弱性の種類
7. 技術面の脆弱性の種類

脆弱性に関連したIPA情報処理試験の過去問題
もっと知識を広げるための参考
更新履歴

1. 脆弱性とは

脆弱性とは、読み方はぜいじゃくせいで、もろくて弱い性質や性格のこと。 特に情報セキュリティでよく使われる言葉です。

情報セキュリティでの脆弱性の意味は、設備や技術、管理・制度などの情報に関連したリスクの要因となる弱点や欠陥を意味します。 まずは脆弱性ということばの意味をおさえていければと思います。

意味

脆弱性の英訳など言葉の意味について簡単に見ていきます。

脆弱性の英訳

脆弱性は英訳で「Vulnerability（バルネラビリティ）」といいます。

その他に、「Security Hole（セキュリティホール）」という言葉も使われます。

Vulnerableの意味

英語のVulnerableの意味の説明です。

• someone who is vulnerable is easily harmed or hurt emotionally, physically, or morally.
• a place, thing, or idea that is vulnerable is easy to attack

脅威と脆弱性

情報セキュリティマネジメントの考え方として、 脅威が存在しないと判断できる場合、脆弱性に対処する必要性は低いと判断します。

2. バグ

バグ は、英語で「虫」の意味ですが、プログラムの世界ではコンピュータプログラムの誤りや欠陥を意味します。

3. セキュリティホール

セキュリティホールは、セキュリティの穴。脆弱性の俗にいった言葉です。

Shortcoming of a computer program that allows unauthorized hackers to gain access to a system or network, and to interfere with its operations and data.

4. 人的脆弱性

人的脆弱性は、言い換えれば管理面・制度面の脆弱性です。 どれだけシステムに強固なセキュリティ対策を施したとしても、介在する人に脆弱性があれば、そこが攻撃の入り口になってしまいます。

5. シャドーIT

シャドーITは、IT部門の公式な許可を得ずに、従業員又は部門が業務に利用しているデバイスやクラウドサービスのことをいいます。 脆弱性を認識する上でシャドーITについても理解しておくことが重要です。

6. 脆弱性の種類

情報セキュリティ関連の脆弱性の種類には、大きく設備面の脆弱性、技術面の脆弱性、管理面・制度面の脆弱性があります。 近年レピュテーションリスクという用語も登場してきており、風評面の脆弱性もあると考えます。 脆弱性の種類について見ていきます。

技術面の脆弱性

技術面の脆弱性とは、ネットワーク構成における欠陥、ソフトウェアのバグ、アクセス制御システムの不備、設定ミスなど技術面に関連した脆弱性です。

検索エンジンの結果などで目に付く脆弱性が技術面に関連した脆弱性です。 たとえば、IEの脆弱性、OpenSSLの脆弱性、OSの脆弱性、FREAK脆弱性などです。

設備面の脆弱性

設備面の脆弱性とは、建物の構造上の欠陥、設備のメンテナンスの不備、入退室管理の不備などの設備面に関連した脆弱性です。

管理面・制度面の脆弱性

管理面・制度面の脆弱性とは、情報セキュリティに関する方針や規定の不備、機器や外部記憶媒体管理の不備、ユーザ教育やマニュアルの不備、インシデント対応計画の不備など管理や制度面に関連した脆弱性です。

7. 技術面の脆弱性の種類

以下では検索エンジンなどでよく見受けられる技術面の脆弱性についてみていきます。

IEの脆弱性

Internet Explorer（IE）の脆弱性とは、MicrosoftのWebブラウザであるInternet Explorerに存在する脆弱性のことをいいます。

OpenSSLの脆弱性

OpenSSLの脆弱性とは、暗号化通信（SSL／TLS）の機能を実装した、オープンソースのライブラリであるOpenSSLに存在する脆弱性のことをいいます。

バッファオーバーフローの脆弱性

バッファオーバーフローの脆弱性とは、バッファオーバーフロー攻撃を許してしまう脆弱性のことをいいます。 OSなど、あらゆるプログラムは、指示された処理を行うためにメモリ上に自身が使用する領域を確保して使用します。 プログラムに問題がある場合、プログラムが確保したメモリの領域を超えて領域外のメモリを上書きされ、意図しないコードを実行してしまう可能性があります。 これを悪用した攻撃をバッファ オーバーフロー攻撃といいます。

OSの脆弱性

OSの脆弱性とは、OSのリリース後に設計ミスやプログラミングミスなどによる欠陥（バグ）が発見されることがよくあります。 これらのうちセキュリティリスクとなりうる欠陥（バグ）がOSの脆弱性です。

SSL/TLSの脆弱性

SSL/TLSの脆弱性は、SSL/TLSに関連する脆弱性のことをいいます。 代表的なものを見ていきます。

FREAK脆弱性

FREAK脆弱性とは、SSL/TLSの脆弱性を付いたFREAK攻撃を許す脆弱性のことをいいます。

Webアプリケーションの脆弱性

Webアプリケーションの脆弱性は、Webアプリケーションに関連する脆弱性のことをいいます。 代表的なものを見ていきます。

SQLインジェクションの脆弱性

SQLインジェクションの脆弱性とは、SQLインジェクション攻撃を許してしまう欠陥のことをいいます。 データベースと連携したウェブアプリケーションの多くは、利用者からの入力情報を基にSQL文を組み立てています。 ここで、SQL文の組み立て方法に問題がある場合、SQL文を変更するSQLインジェクション攻撃によってデータベースの不正利用をまねく可能性があります。

OSコマンドインジェクションの脆弱性

OSコマンドインジェクションの脆弱性とは、OSコマンドインジェクション攻撃を許してしまう欠陥のことをいいます。 ウェブアプリケーションによっては、ウェブサーバのOSコマンドを不正に実行されてしまう問題を持つものがあります。 この問題を悪用した攻撃手法を、OSコマンドインジェクション攻撃といいます。

ディレクトリトラバーサルの脆弱性

ディレクトリトラバーサルの脆弱性とは、ディレクトリトラバーサル攻撃を許してしまう欠陥のことをいいます。 ウェブアプリケーションの中には、外部からのパラメータにウェブサーバ内のファイル名を直接指定しているものがあります。 ファイル名指定の実装に問題がある場合、攻撃者に任意のファイルを指定され、ウェブアプリケーションが意図しない処理を行ってしまう可能性があります。 これを悪用した攻撃手法がディレクトリトラバーサル攻撃です。

セッション管理の不備

セッション管理の不備とは、セッションハイジャック攻撃を許してしまう脆弱性です。 ウェブアプリケーションの中には、セッション ID（利用者を識別するための情報）を発行し、セッション管理を行っているものがあります。 この機構の不備を悪用して、ログイン中の利用者のセッションIDを取得して、その利用者になりすましてアクセスする攻撃手法がセッションハイジャックです。

XSSの脆弱性

XSSの脆弱性とは、XSS攻撃を許してしまう脆弱性のことをいいます。 ウェブアプリケーションの中には、利用者からの入力内容やHTTPヘッダの情報をウェブページに出力するものがあります。 ウェブページへの出力処理に問題がある場合、そのウェブページにJavaScriptなどのコードが埋め込まれてしまいます。 この問題を悪用した攻撃手法を、XSS（クロスサイト・スクリプティング）攻撃といいます。

CSRFの脆弱性

CSRFの脆弱性とは、CSRFの攻撃を許してしまう脆弱性のことをいいます。 ログイン機能のあるウェブサイトでログインの際に利用者が意図したリクエストであるか識別する仕組みを持たない場合があります。 その場合、外部サイトを経由した悪意のあるリクエストを受け入れてしまう場合があります。 悪意のある人が用意した罠により、利用者が予期しない処理を実行させられてしまう可能性があります。 これを悪用した攻撃をCSRF攻撃といいます。 CSRFの読み方は「しーさーふ」あるいは正式名の「クロスサイト・リクエスト・フォージリ」といいます。

HTTPヘッダインジェクションの脆弱性

HTTPヘッダインジェクションの脆弱性とは、HTTPヘッダインジェクション攻撃を許してしまう脆弱性のことをいいます。 HTTPレスポンスヘッダのフィールド値を、外部の入力パラメータの値などを利用して生成する場合は注意が必要です。 たとえば、リダイレクトするため、入力値をリダイレクト先URLとしてLocationヘッダの使用する場合です。 HTTP レスポンスヘッダの出力処理に問題がある場合、レスポンス内容をに任意のヘッダフィールドを追加したり、 任意のボディを作成したり、複数のレスポンスを作り出すような攻撃を仕掛けられる恐れがあります。 このような問題を悪用した攻撃手法はHTTPヘッダインジェクション攻撃といいます。

メールヘッダインジェクションの脆弱性

メールヘッダインジェクションの脆弱性とは、メールヘッダインジェクション攻撃を許してしまう脆弱性のことをいいます。 お問い合わせフォームなどメールアドレスに送信する機能を持つものがあります。 実装によっては、外部の利用者がこのメールアドレスを自由に指定できてしまう場合があります。 これを悪用した攻撃をメールヘッダインジェクション攻撃といいます。

クリックジャッキングの脆弱性

クリックジャッキングの脆弱性とは、クリックジャッキング攻撃を許してしまう脆弱性のことをいいます。 ウェブサイトによってはFrameタグを許可している場合があります。 この場合、設定によっては利用者が誤操作し、意図しない機能を実行させられる可能性があります。 これを悪用した攻撃をクリックジャッキング攻撃といいます。

ゼロデイ脆弱性

ゼロデイ脆弱性とは、OSやミドルウェア、ライブラリなどの製品で脆弱性が見つかり、公表されているけれども修正パッチなどの対応策がないものをいいます。 つまりゼロデイ脆弱性とは、対応策がない脆弱性をいいます。対応策が無い恐ろしい脆弱性です。

脆弱性に関連したIPA情報処理試験の過去問題

以下では脆弱性に関連したIPA情報処理試験の過去問とその解説をまとめています。

• 平成30年秋 問16 脆弱性関連の用語―情報セキュリティマネジメント試験 午前
• 平成29年秋 問09 脅威と脆弱性―情報セキュリティマネジメント試験 午前
• 平成29年秋 問16 シャドーIT―情報セキュリティマネジメント試験 午前

もっと知識を広げるための参考

• 情報セキュリティ

  情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。

• テクノロジ系

  情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。

更新履歴

更新履歴になります。

• 2021/11/29 バグ、セキュリティlホール、人的脆弱性について追記しました。
• 2019/3/22 脅威と脆弱性について追記しました。
• 2018/12/7 シャドーITについて追記しました。
• 2017/12/22 クリックジャッキングなどの脆弱性について追記しました。
• 2017/12/21 XSSなどの脆弱性について追記しました。
• 2017/12/20 Webアプリケーションの脆弱性について追記しました。
• 2017/12/16 ページをUPしました。

戻る