脆弱性とは、かんたんに言うと「弱点」のことです。
ITでは、パソコン、スマホ、アプリ、Webサイトなどにある弱い部分を指します。弱い部分があると、悪意のある人にねらわれるきっかけになることがあります。
この記事では、脆弱性の意味、身近な例、似た言葉との違い、基本的な対策を初心者向けにわかりやすく解説します。
ほかのIT用語も知りたい方は、初心者向けのIT用語辞典もあわせてご覧ください。
脆弱性とは「弱点」のこと
脆弱性とは、システムやソフトにある弱い部分のことです。
ここでいうシステムとは、Webサイト、会員ページ、会社で使う予約や注文のしくみなどを指します。
ソフトとは、パソコンやスマホで使うプログラムのことです。スマホでは、アプリと呼ぶことが多いです。
脆弱性の読み方
脆弱性は「ぜいじゃくせい」と読みます。
「脆弱」は、もろくて弱いという意味です。ITの世界では、守りが弱い部分という意味で使われます。
かんたんに言うと「ねらわれやすいすき間」
脆弱性は、かんたんに言うと「ねらわれやすいすき間」です。
たとえば、家のドアに鍵がかかりにくい場所があったとします。そのままにしておくと、そこが入り口として使われるかもしれません。
ITでいう脆弱性も、これに近い考え方です。パソコンやアプリの中にある弱い部分が、攻撃の入り口になることがあります。
ITではソフトやシステムの弱い部分を指す
ITでは、アプリやシステムの作りにある弱い部分を脆弱性と呼びます。
たとえば、古いアプリに不具合が残っている場合や、設定がゆるい場合などです。こうした弱点は、更新や設定の見直しで直せることがあります。
脆弱性がセキュリティで大事な理由
脆弱性がセキュリティで大事なのは、攻撃の入り口になることがあるためです。
セキュリティとは、情報や機器を守るための考え方や対策のことです。脆弱性を知ることは、安全に使うための第一歩です。
脆弱性は、ITパスポートや基本情報技術者試験のセキュリティ分野とも関係します。試験対策として学びたい方は、ITパスポートのセキュリティ入門や基本情報技術者試験のセキュリティ入門も参考にしてください。
弱点を放置すると攻撃に使われることがある
脆弱性があると、悪意のある人がそこを利用することがあります。
たとえば、古いアプリの弱点を使って、不正に操作されることがあります。不正に操作されるとは、許可なく中を見られたり、勝手に動かされたりすることです。
そのため、更新や見直しをして、弱点を少しずつ減らすことが大切です。
パソコンやスマホにも脆弱性は関係する
脆弱性は、会社の大きなシステムだけの話ではありません。
普段使っているパソコン、スマホ、ブラウザ、アプリにも関係します。
ブラウザとは、Webサイトを見るためのアプリです。Chrome、Edge、Safariなどがあります。
ChromeやWindowsなどの更新にも、脆弱性への対応が含まれることがあります。
企業のシステムやWebサイトでも問題になる
企業のWebサイトや会員システムでも、脆弱性は大切な確認ポイントです。
お客さまの情報をあつかう場合は、特に注意が必要です。そのため、企業では弱点を調べる作業を行うことがあります。
脆弱性の身近な例
脆弱性は、難しいものばかりではありません。
日ごろの使い方や設定に関係する弱点もあります。ここでは、身近な例を見ていきます。
古いままのアプリやOS
古いままのアプリやOSには、すでに見つかった弱点が残っていることがあります。
OSとは、パソコンやスマホを動かす基本のソフトです。Windows、macOS、iOS、Androidなどが当てはまります。
更新には、新しい機能だけでなく、安全のための修正が含まれることがあります。
弱いパスワード
短すぎるパスワードや、だれでも思いつきやすいパスワードは、セキュリティ上の弱点になります。
たとえば「123456」や誕生日だけのパスワードは、見破られやすいことがあります。
パスワードは、長く、ほかの人が予想しにくいものにすることが大切です。
設定ミス
設定ミスも、セキュリティ上の弱点につながることがあります。
たとえば、本来は見せないはずのページが外から見える状態になっている場合です。これは、家の窓を閉め忘れているようなものです。
ITでは、見せてはいけない情報や機能が、外から使える状態になっていないかを確認することが大切です。
ソフトの不具合
ソフトの不具合が、脆弱性になることもあります。
不具合とは、ソフトが思ったとおりに動かないことです。その中でも、攻撃に使われるおそれがあるものは、セキュリティ上の脆弱性として扱われます。
脆弱性と似た言葉の違い
脆弱性と似た言葉に、バグ、脅威、リスクがあります。
それぞれの意味を分けて考えると、セキュリティの話がわかりやすくなります。
脆弱性とバグの違い
バグとは、ソフトの不具合のことです。
すべてのバグが脆弱性になるわけではありません。攻撃に使われるおそれがあるバグは、脆弱性として扱われます。
脆弱性と脅威の違い
脅威とは、害を起こす可能性があるものです。
たとえば、悪意のある人、ウイルス、不正なアクセスなどが脅威に当たります。
不正なアクセスとは、許可なくログインしたり、本来見てはいけない情報を見たりすることです。
脆弱性は「弱点」、脅威は「その弱点を使うかもしれないもの」と考えるとわかりやすいです。
脆弱性とリスクの違い
リスクとは、問題が起きる可能性や、その影響の大きさのことです。
脆弱性があり、そこをねらう脅威があると、リスクが高くなります。つまり、脆弱性はリスクを生む原因の一つです。
脆弱性があると起こりやすいこと
脆弱性があると、情報やサービスに影響が出ることがあります。
ただし、脆弱性があるだけで、必ず被害が出るわけではありません。大切なのは、早めに気づいて対策することです。
情報を見られることがある
脆弱性が使われると、本来は見られないはずの情報が見られることがあります。
たとえば、名前、メールアドレス、ログイン情報などです。個人でも企業でも、情報を守る意識が大切です。
サービスが止まることがある
脆弱性を使った攻撃により、Webサイトやサービスが止まることがあります。
サービスが止まると、利用者がページを見られなくなることがあります。企業では、売上や信頼にも関わります。
ウイルス感染のきっかけになることがある
脆弱性が、ウイルス感染のきっかけになることもあります。
ウイルスとは、パソコンやスマホに悪い動きをさせるプログラムのことです。更新や基本的な対策で、入り口を減らすことができます。
脆弱性への基本的な対策
脆弱性への対策は、特別なことばかりではありません。
個人でもできる基本対策があります。まずは、ふだん使う機器やアプリを安全な状態に保つことが大切です。
OSやアプリを更新する
もっとも大切な対策の一つが、OSやアプリの更新です。
更新には、見つかった脆弱性を直す内容が含まれることがあります。通知が出たら、内容を確認して早めに更新しましょう。
更新するときは、アプリ内の通知や公式サイトなど、信頼できる案内から行うことが大切です。
使っていないアプリを消す
使っていないアプリは、残しておく必要がない場合があります。
古いアプリを放置すると、更新されないまま弱点が残ることがあります。使っていないものは整理すると安心です。
強いパスワードを使う
パスワードは、長くて推測されにくいものにしましょう。
同じパスワードをいろいろなサービスで使い回すのは避けた方がよいです。1つが知られると、ほかのサービスにも影響することがあります。
二段階認証を使う
二段階認証とは、パスワードに加えて、もう一つの確認を行うしくみです。
たとえば、スマホに届く番号を入力する方法があります。
万が一パスワードが知られてしまっても、もう一つの確認があるため、不正ログインを防ぎやすくなります。
セキュリティソフトを使う
セキュリティソフトは、危ない動きを見つけたり、止めたりするためのソフトです。
特に、仕事のファイルを扱う人、ネット銀行や証券口座を使う人、家族で同じパソコンを使う人は検討しやすい対策です。
脆弱性診断とは
脆弱性診断とは、システムやWebサイトに弱点がないか調べることです。
健康診断で体の状態を確認するように、脆弱性診断ではシステムの状態を確認します。見つかった弱点は、修正や設定変更で対応します。
システムの弱点を調べること
脆弱性診断では、外から見える弱点や、設定の問題などを調べます。
たとえば、古いソフトが使われていないか、見せてはいけない情報が見えていないかを確認します。
主に企業やWebサイトで使われる
脆弱性診断は、主に企業やWebサイトの運営者が行います。
お客さまの情報を守る必要があるためです。大きなサービスほど、定期的な確認が大切になります。
個人はまず更新と基本対策を大切にする
個人の場合、まずはOSやアプリの更新が大切です。
そのうえで、強いパスワード、二段階認証、使っていないアプリの整理を進めるとよいでしょう。
ゼロデイ脆弱性とは
ゼロデイ脆弱性とは、修正される前に知られてしまった脆弱性のことです。
ここからは少し発展した言葉です。ニュースで見かけたときに、意味がわかる程度で十分です。
修正される前に知られた脆弱性
ゼロデイの「ゼロ」は、対策できる日数がまだない状態を表します。
つまり、弱点は知られているのに、修正がまだ用意されていない状態です。
見つけたら更新情報を確認する
ゼロデイ脆弱性のニュースを見たときは、使っているアプリやOSの更新情報を確認しましょう。
公式の更新が出たら、早めに対応することが大切です。不明なリンクや添付ファイルを開かないことも基本です。
CVEとは
CVEとは、脆弱性につけられる番号のことです。
世界中で見つかる脆弱性を区別しやすくするために使われます。ニュースやセキュリティ情報で見かけることがあります。
脆弱性につけられる番号のこと
CVEは、脆弱性を見分けるための共通の番号です。
たとえば、同じ脆弱性について話すときに、番号があると間違いにくくなります。
ニュースや情報サイトで見かけることがある
セキュリティのニュースでは、CVE番号が書かれていることがあります。
初心者のうちは、番号を覚える必要はありません。「脆弱性を区別するための番号」と考えれば十分です。
初心者が間違えやすい点
脆弱性は、少しわかりにくい言葉です。
ここでは、初心者が間違えやすい点を整理します。
脆弱性は「ウイルスそのもの」ではない
脆弱性は、ウイルスそのものではありません。
脆弱性は弱点です。ウイルスは、その弱点を使って入ってくることがある悪いプログラムです。
脆弱性があるだけで必ず被害が出るわけではない
脆弱性があるからといって、必ず被害が出るわけではありません。
ただし、弱点をそのままにしておくと、問題が起きる可能性は高くなります。早めの更新や設定の見直しが大切です。
更新を止めると危険が増えやすい
更新を止めると、見つかった弱点が残りやすくなります。
更新には時間がかかることもありますが、安全に使うための大切な作業です。
脆弱性とは何かに関するよくある質問
脆弱性の英語は?
脆弱性は英語で「vulnerability」といいます。
セキュリティの話では、「弱点」や「攻撃に使われる可能性がある部分」という意味で使われます。
脆弱性は何と読む?
脆弱性は「ぜいじゃくせい」と読みます。
日常ではあまり使わない言葉ですが、セキュリティの分野ではよく使われます。
脆弱性を見つけたらどうすればいい?
自分のパソコンやスマホであれば、まずOSやアプリを更新しましょう。
Webサイトや会社のシステムで見つけた場合は、担当者や管理者に伝えることが大切です。勝手に試すと迷惑になることがあります。
脆弱性診断は個人にも必要?
一般の個人が本格的な脆弱性診断を行う必要は、あまり多くありません。
まずは、更新、パスワード、二段階認証、セキュリティソフトなどの基本対策を優先しましょう。
無料の対策だけでは不安な人へ
ネット銀行やネット通販、仕事のファイル、家族のパソコンなどが不安な人は、ESETが自分に合うか確認してみてもよいでしょう。
まとめ:脆弱性とは弱点のこと。更新と基本対策が大切
脆弱性とは、パソコン、スマホ、アプリ、Webサイトなどにある弱点のことです。
家の鍵がこわれていると入り口になりやすいように、ITでも弱い部分があると攻撃のきっかけになることがあります。
ただし、むやみに不安になる必要はありません。OSやアプリを更新し、強いパスワードや二段階認証を使うことで、基本的な対策ができます。
脆弱性は「見つかったら直していくもの」です。日ごろから更新と見直しを続けることが、安全に使うための近道です。