脆弱性とは？攻撃される原因を理解する【情報セキュリティマネジメント】

まず結論

脆弱性とは、脅威によって攻撃される可能性のある「弱点」のこと（JIS Q 27000:2014 3.77）
SG試験では「脅威・脆弱性・リスクの関係を正しく理解できているか」が問われる

直感的な説明

脆弱性は「カギのかかっていないドア」のようなものです。

家（＝システム）に
カギがかかっていないドア（＝脆弱性）があると
泥棒（＝脅威）が入り込める

つまり、

👉 弱点（脆弱性）があるから攻撃される

という関係です。

システムでも同じで、

バグがある
設定が甘い
パスワードが弱い

こういったものがすべて脆弱性になります。

定義・仕組み

脆弱性は、JISで次のように定義されます。

脅威によって付け込まれる可能性のある、資産または管理策の弱点
（JIS Q 27000:2014 用語番号 3.77）

ポイントは2つです。

① 「弱点」であること

プログラムのバグ
設定ミス
運用ルールの不備

👉 技術だけでなく「運用のミス」も脆弱性

② 「脅威とセットで意味を持つ」

脆弱性だけでは被害は発生しません。

脆弱性（弱点）
脅威（攻撃者・災害など）

この2つが組み合わさると、

👉 リスク（被害の可能性）になる

関係の整理（超重要）

脅威：攻撃する存在
脆弱性：攻撃される原因（弱点）
リスク：実際に被害が起こる可能性

SG試験ではこの関係が頻出です。

どんな場面で使う？

① セキュリティ対策の検討

「どこが弱いか？」を見つける
→ パッチ適用、設定変更などで対策

👉 脆弱性の発見がスタート地点

② リスクアセスメント

脅威 × 脆弱性 → リスク評価

👉 「脆弱性があるかどうか」でリスクの大きさが変わる

③ システム運用・監査

定期的な脆弱性診断
ソフトウェア更新（パッチ管理）

👉 運用での管理が重要

よくある誤解・混同

❌ 脆弱性＝攻撃そのもの

→ 間違い

脆弱性：弱点
攻撃：脅威による行動

👉 攻撃ではなく「攻撃される原因」

❌ 脆弱性＝リスク

→ 間違い

脆弱性だけでは被害は発生しない
脅威と組み合わさって初めてリスクになる

❌ バグだけが脆弱性

→ 間違い

設定ミス（例：誰でもアクセス可能）
運用ミス（例：パスワード使い回し）

👉 人的・運用的な問題も含まれる

SG試験のひっかけポイント

「脅威」「脆弱性」「リスク」を入れ替えてくる
「脆弱性＝攻撃」と書いてあれば誤り
「脆弱性単体で被害が発生する」と書いてあれば誤り

確認問題（SG試験対策）

次のうち、脆弱性の説明として最も適切なものはどれか。

A. ソフトウェアや設定などに存在する、攻撃に悪用される弱点である。 B. 攻撃を受けた後に証拠保全だけを行う手順である。 C. 利用者の本人確認だけを行う仕組みである。 D. システムの稼働率を保証する契約条件である。

▶ クリックして答えと解説を見る（ここを開く）

正解：A

解説

A：脆弱性は攻撃に利用され得る弱点です。
B：デジタルフォレンジックなどの説明に近いです。
C：認証の説明です。
D：SLAの説明です。

👉 判断ポイント脆弱性は「攻撃手法」そのものではなく、攻撃に使われる「弱点」。

まとめ（試験直前用）

脆弱性＝攻撃される原因となる弱点（JIS Q 27000:2014 3.77）
バグだけでなく、設定・運用の不備も含む
脅威と組み合わさってリスクになる
判断基準：
- 攻撃する側 → 脅威
- 攻撃される原因 → 脆弱性
- 被害の可能性 → リスク

👉 この3つを切り分けられれば正解できる

🔗 関連記事

🏠 情報セキュリティマネジメントトップに戻る