脆弱性【vulnerability】バルネラビリティ

概要

例えば、ソフトウェアにバグ（プログラムの誤り）があり、正当な利用権限がなくてもコンピュータを遠隔から任意に操作可能になってしまう場合がある。外部の攻撃者はこれを悪用することでシステムを乗っ取ることができてしまう。このような弱点のことをセキュリティ上の脆弱性という。

最も一般的な脆弱性はソフトウェアの実装上の誤りや設計・仕様上の不備で、システムの利用権限の奪取や、重要なデータの抜き取りや消去・改竄、コンピュータウイルスなど悪意あるソフトウェア（マルウェア）の感染や活動、外部システムの攻撃の踏み台などに悪用される。

プログラムコードの記述ミスのような明白な誤りだけが脆弱性になるとは限らず、開発者が予想しなかった利用形態や設計段階での見落としなど、形式的には欠陥とはならない潜在的な問題点が脆弱性として後から認知される場合もある。

ソフトウェアの脆弱性は開発者が修正プログラムや修正済みの新バージョンなどを提供して後から修正することが多いが、半導体チップ（マイクロプロセッサなど）内部の回路や動作に脆弱性が存在する場合もあり、既存品の修正ができず装置の交換などが必要となる場合がある。

また、複数のシステムが通信する際のプロトコル（通信規約）や通信手順などの仕様が脆弱性となる場合もあり、規格の改訂などを行わない限りソフトウェアの修正などでは対応できないこともある。

情報セキュリティ上の脆弱性となるのはコンピュータ側の問題だけでなく、機密情報の管理体制の未整備や行動規範の不徹底といった人間の振る舞いに関する問題や、施設の警備や設備の盗難対策の不備といった物理的な問題もある。