「脆弱性」とは、英語のvulnerabilityの日本語訳にあたります。コンピュータのOS(基本ソフト)やソフトウェアにおいては、設計上のミスやプログラムの障害などによって起きるセキュリティ上の不具合のことをいいます。
脆弱性を抱えたままでソフトウェアやコンピュータを使用し続けていると、外部からウイルスなどによる攻撃を受けて情報を抜き取られたり、コンピュータを破壊されたりといった被害を受ける可能性が高まってしまいます。また、インターネットを介して管理者パスワードを抜き取られ、所有しているウェブサイトの情報が改ざんされる恐れもあります。
もし、ソフトウェアに脆弱性が発見されると、ソフトの提供元は更新プログラムなどでそれを補強します。そのため、コンピュータを安全に利用するには、こまめに更新プログラムを適用し、アップデートしていくことが大切です。
しかし、ハッカーたちの技術も日々進歩しており、補強をしたプログラムの隙をついてくるウイルスなどを送り込んできます。こうした、プログラマーとハッカーたちとの「いたちごっこ」が続いているというのが近年の状況です。
脆弱性はシステムだけの問題ではない
近年「ゼロデイアタック」とよばれる脆弱性への攻撃が増えてきています。OSやソフトウエア上で脆弱性が発見された際に、メーカーが更新プログラムを用意している間に、その脆弱性の隙を狙って行われる攻撃です。脆弱性の内容によっては、修正プログラムの提供まで時間がかかることもあり、完全に防ぐことは難しいといわざるを得ません。
また、脆弱性はコンピュータのシステムに関するものだけではありません。災害による物理的なダメージや、人為的なものも含まれます。インターネットやSNS(ソーシャルネットワーキングサービス)の発達により、偽のサイトを使って、管理者からパスワードを盗み出すなどといった攻撃を受ける場合があります。
こうした攻撃は、悪意をもつ他人の手によっての行われるもので、システム上の脆弱性と区別して「人為的脆弱性」と呼ぶこともあります。
脆弱性対策に関するガイドラインもある
経済産業省所管の独立行政法人の情報処理推進機構では、脆弱性対応のためのガイドラインを制定しています。製品開発者、ウェブサイト運営者など関係者に向けた積極的な啓蒙活動を行っており、製品開発者及びウェブサイト運営者は、脆弱性に関する通知を受けた際には、このガイドラインに沿った対応をとることを推奨しています。
情報処理など、コンピュータに関連のある職種につく場合は、一度このガイドラインに目を通しておくとよいでしょう。
