脆弱とは？ わかりやすく解説

デジタル大辞泉

ぜい‐じゃく【^×脆弱】

読み方：ぜいじゃく

［名・形動］もろくて弱いこと。また、そのさま。「—な地盤」「—な神経」

[派生] ぜいじゃくさ［名］

難読語辞典

脆弱

読み方：ゼイジャク（ｚｅｉｊａｋｕ）

もろくて弱いこと

ウィキペディア

脆弱性

(脆弱 から転送)

出典: フリー百科事典『ウィキペディア（Wikipedia）』 (2024/10/06 03:16 UTC 版)

脆弱性（ぜいじゃくせい、英: vulnerability）とは、情報セキュリティ・サイバーセキュリティの用語で、コンピュータに存在する情報セキュリティ上の欠陥をいう。セキュリティホールとも呼ばれる^[1]。

ISO 27000における定義

ISO 27000およびそれと同等なJIS Q 27000（ISMSの用語を規定）では脆弱性を

一つ以上の脅威によって付け込まれる可能性のある資産または管理策の弱点^[2]

とより厳密に定義している。

ここで

• 脅威（threat）とは「システム又は組織に損害を与える可能性がある、望ましくないインシデントの潜在的な原因」^[3]
  • （情報セキュリティ）インシデントとは「望まない単独若しくは一連の情報セキュリティ事象，又は予期しない単独若しくは一連の情報セキュリティ事象であって，事業運営を危うくする確率及び情報セキュリティを脅かす確率が高いもの」^[4]
• 管理策(control)とは「リスクを修正する対策」^[5]
  • リスクとは「目的に対する不確かさの影響」^[6]

CAPECにおける脆弱性の分類

Mitre社のCAPECでは攻撃パターンによって脆弱性をツリー状に分類しており、その最上位の分類は以下のものである^[7]：

分類	分類（邦訳）	概要
Engage in Deceptive Interactions[7]	欺いたやりとりに従事する	「標的を欺き、他の主体ととやりとりしているように見せかける為、標的と不正なやりとりを行う」攻撃パターン[8]
Abuse Existing Functionality[7]	既存の機能を悪用する	「悪事を達成する為、もしくは標的となる機能が影響を受けるほどにリソースを枯渇させる為、アプリケーションの１つ以上の機能を使ったり操ったり」[9]する攻撃パターン
Manipulate Data Structures[7]	データ構造を操る	「システムのデータ構造の本来意図された使用方法や防御機構に違反するために、そのデータ構造の特徴を操ったり悪用したりする」[10]攻撃パターン
Manipulate System Resources[7]	システムリソースを操る	「攻撃者が望む結果を得るために、１つ以上のリソースを操る」[11]攻撃パターン
Inject Unexpected Items[7]	予想外のものを挿入する	「入力インターフェースから細工されたデータを挿入するか、あるいはターゲットのシステムに悪意のあるコードをインストールして実行するかして、標的の行動をコントロールするか邪魔するかする」[12]攻撃パターン
Employ Probabilistic Techniques[7]	確率的手法を採用する	「標的を欺き、他の主体ととやりとりしているように見せかける為、標的と不正なやりとりを行う」攻撃パターン[8]
Manipulate Timing and State[7]	タイミングや状態を操作する	「標的のコードやプロセスの実行フローの防御を回避した行動を取るために、関数の状態や呼び出しタイミングの弱点を利用する」[13]攻撃パターン
Collect and Analyze Information[7]	情報を収集し、分析する	「情報の収集と窃取に関する」[14]攻撃パターン
Subvert Access Control[7]	アクセスコントロールの破壊	「識別、認証、およびリソースへのアクセスや機能認可の管理に用いているメカニズムの弱点、制限、ないし仮定を能動的に悪用する」[15]攻撃パターン

脚注

[脚注の使い方]

出典

1. ^ “脆弱性（ぜいじゃくせい）とは？｜どんな危険があるの？｜基礎知識｜国民のための情報セキュリティサイト”. www.soumu.go.jp. 2022年8月8日閲覧。
2. ^ JIS Q 27000:2014 箇条 2.89。
3. ^ JIS Q 13335-1 箇条 2.25、JIS Q 27000:2014 箇条 2.83。
4. ^ JIS Q 27000:2014 箇条 2.36
5. ^ JIS Q 27000:2014 箇条 2.16。
6. ^ JIS Q 31000:2010 箇条 2.1、JIS Q 27000:2014 箇条 2.68。
7. ^ ^{a b c d e f g h i j} “CAPEC-1000: Mechanisms of Attack”. 2018年11月30日閲覧。
8. ^ ^{a b} “CAPEC-156: Engage in Deceptive Interactions”. 2018年11月30日閲覧。
9. ^ “CAPEC-210: Abuse Existing Functionality”. 2018年11月30日閲覧。
10. ^ “CAPEC-255: Manipulate Data Structures”. 2018年11月30日閲覧。
11. ^ “CAPEC-262: Manipulate System Resources”. 2018年11月30日閲覧。
12. ^ “CAPEC-152: Inject Unexpected Items”. 2018年11月30日閲覧。
13. ^ “CAPEC-172: Manipulate Timing and State”. 2018年12月3日閲覧。
14. ^ “CAPEC-118: Collect and Analyze Information”. 2018年12月3日閲覧。
15. ^ “CAPEC-225: Subvert Access Control”. 2018年12月3日閲覧。

関連項目

• 脆弱性情報データベース
• セキュリティホール

外部リンク

ウィキメディア・コモンズには、脆弱性に関連するカテゴリがあります。

• ISMS関連のISO/IECとJIS
  • “JIS検索”. 日本工業標準調査会 JISC（Japanese Industrial Standards Committee）. 2016年8月10日閲覧。 JIS本文を閲覧可能
    • JIS Q 27000:2014 情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−用語
    • JIS Q 27001:2014 情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−要求事項
    • JIS Q 27002:2014 情報技術−セキュリティ技術−情報セキュリティ管理策の実践のための規範
• “CAPEC Common Attack Pattern Enumeration and Classification. A Common Resource for Identifying and Understanding Attacks”. Mitre. 2018年12月3日閲覧。
• “Welcome To The Web Application Security Consortium Project page”. 2018年12月10日閲覧。
  • “WASC THREAD CLASSIFICATION version 2.0.0” (PDF). 2018年12月10日閲覧。
  • “Web Security Consortium: 脅威の分類 version 1.0.0” (PDF). 2018年12月10日閲覧。

この項目は、コンピュータに関連した書きかけの項目です。この項目を加筆・訂正などしてくださる協力者を求めています（PJ:コンピュータ/P:コンピュータ）。

• 表示
• 編集

Wiktionary日本語版（日本語カテゴリ）

脆弱

出典:『Wiktionary』 (2021/09/20 08:01 UTC 版)

発音^(?)

ぜ↗ーじゃく

名詞

脆 弱（ぜいじゃく）

1. 脆（もろ）く弱（よわ）いこと。
   • 僕の体は元来甚だ丈夫ならざれども、殊にこの三四年来は一層脆弱に傾けるが如し。（芥川龍之介『病中雑記』）

派生語

• 脆弱性

形容動詞

脆弱（ぜいじゃく）

1. 脆（もろ）く弱（よわ）い。
   • しかし、いずれの舟も、ほんのわずかの航海しかできない脆弱なものであったに相違ない。（柳田国男「故郷七十年」）〔1958年〕^[1]

活用

対義語

• 頑丈、強固、堅固、堅牢、タフ

翻訳

• 英語：vulnerable

Weblio日本語例文用例辞書

「脆弱」の例文・使い方・用例・文例

• 脆弱で力の無い、ただの人間なんだ。
• 彼の絵の騒々しい表面の下には、普通の人間の脆弱さに対する同情がある
• 彼は個人教授をすることでのその脆弱な収入を補った
• 垂れること（消耗または脆弱性からのような）
• 脆弱な橋
• 特に脆弱な場所
• 破壊への脆弱性
• 要素への脆弱性
• 私がティーンエージャーをインタビューしたところ宗教的な絆が脆弱になっていることが明らかになった
• 訴訟への彼の脆弱性