脆弱性とは、攻撃者や脅威がつけ込むことができる組織や情報システム上の弱点のことです。脆弱性そのものは直接的な被害をもたらすものではありませんが、脅威と組み合わさることでセキュリティインシデントに発展するリスクを持ちます。
脆弱性は大きく「組織的な脆弱性」と「技術的な脆弱性」の2つに分けられます。
組織的な脆弱性とは、機密情報や個人情報を適切に管理するための体制や規程が整っていない状態を指します。たとえば、アクセス権限の管理が曖昧である、情報セキュリティに関する教育や訓練が不十分である、インシデント発生時の対応手順が定められていないといった状況が該当します。技術的な対策がいかに優れていても、組織的な体制が脆弱であれば内部不正や人的ミスによるリスクは解消されません。
技術的な脆弱性とは、ソフトウェアやハードウェアの設計上の欠陥や実装ミスによって生じるセキュリティホールのことです。攻撃者はこのセキュリティホールを悪用して不正アクセスやマルウェアの実行を試みます。特に、脆弱性が公表されてから修正プログラム(パッチ)が適用されるまでの期間は攻撃リスクが高まるため、迅速な対応が求められます。
OSやソフトウェアの開発元は脆弱性が発見されると、それを解消するためのアップデートやセキュリティパッチを提供します。そのため、常に最新の脆弱性情報を把握し、アップデートを速やかに適用することが技術的な脆弱性対策の基本です。また、JVN(Japan Vulnerability Notes)などの脆弱性情報データベースを活用することで、自組織に関連する脆弱性を効率的に把握することができます。
組織的・技術的な脆弱性の両面に対して継続的に対策を講じることが、セキュリティリスクを低減するうえで不可欠です。
下記の表で①②③に入るべき言葉を選んでください。
| ア | ①脅威②脆弱性③リスク |
| イ | ①リスク②脅威③脆弱性 |
| ウ | ①脅威②リスク③脆弱性 | エ | ①脆弱性②脅威③リスク |
