脆弱性
定義
脆弱性とはシステム・ソフトウェア・設定・運用プロセスに存在するセキュリティ上の弱点です。攻撃者がこれを「エクスプロイト」することで不正アクセスやデータ窃取が発生します。製品コードのバグ(CVE番号で識別)だけでなく、デフォルトパスワードの放置・不要ポートの公開・暗号化設定の誤り・過剰な権限設定といった「設定脆弱性」も含みます。2024年に公開されたCVEは4万件を超え、CVSS 9.0以上の「緊急(Critical)」も増加傾向にあります。対応は「スキャン→発見→優先付け(CVSSスコア+実際の悪用確認)→パッチ適用→確認」のサイクルで継続的に管理する必要があります。パッチがまだ存在しない「ゼロデイ脆弱性」に対しては、多層防御(EDRの異常検知・ネットワークセグメンテーション・攻撃対象領域の縮小)で被害を最小化するしかなく、最も危険な脆弱性クラスに位置づけられます。
詳細解説
脆弱性は製品リリース前から存在するものもあれば、設定ミスや運用上の問題で生じるものもあります。2024年に公開されたCVEは40,000件を超え、その管理は組織の優先課題です。パッチ適用の優先度はCVSSスコアと実際の悪用状況(KEV: Known Exploited Vulnerabilities)を組み合わせて判断します。
ポイント
- CVSSスコア 9.0以上(Critical)は原則として48〜72時間以内のパッチ適用が目安
- ゼロデイ脆弱性はパッチがない状態で悪用されるため多層防御が必須
- 脆弱性スキャナ(Nessus・OpenVAS)で定期的に自組織の脆弱性を把握する
- KEV(CISA既知悪用脆弱性リスト)に登録された脆弱性は最優先で対処
関連用語
脆弱性が登場する記事・比較
よくある質問
脆弱性とは?
システムやソフトウェアに存在するセキュリティ上の弱点。攻撃者はこれを悪用(エクスプロイト)してシステムに侵入する。CVE番号で識別される。
脆弱性について詳しく知るには?
脆弱性は製品リリース前から存在するものもあれば、設定ミスや運用上の問題で生じるものもあります。2024年に公開されたCVEは40,000件を超え、その管理は組織の優先課題です。パッチ適用の優先度はCVSSスコアと実際の悪用状況(KEV: Known Exploited Vulnerabilities)を組み合わせて判断します。
脆弱性のポイントは?
CVSSスコア 9.0以上(Critical)は原則として48〜72時間以内のパッチ適用が目安 ゼロデイ脆弱性はパッチがない状態で悪用されるため多層防御が必須 脆弱性スキャナ(Nessus・OpenVAS)で定期的に自組織の脆弱性を把握する KEV(CISA既知悪用脆弱性リスト)に登録された脆弱性は最優先で対処
同じカテゴリの用語(基礎概念)
ユーザー、端末、リソース、場所、時刻などの属性を条件にしてアクセス可否を判断する方式。…
誰が、いつ、何にアクセスし、どの操作を行ったかを追跡するための監査用ログ。…
侵害や障害が起きたときに影響が広がる範囲。権限、ネットワーク、データ連携、依存関係で変わる。…
ブラウザ拡張機能が閲覧データ、タブ、サイト、Cookie、ストレージなどへアクセスするために要求する権限。…
情報セキュリティの3つの基本要素。機密性(Confidentiality)・完全性(Integrity)・可用性(Ava…
インシデント対応中に関係者が連絡、判断、報告を行うためのチャット、電話、会議、チケットなどの連絡経路。…