脆弱性

vulnerability

　ネットワークセキュリティ・情報セキュリティに関して「脆弱性」という場合、それらはシステム上のセキュリティに関する欠陥や、企業・組織・個人に対する行動規範の不徹底や未整備などが挙げられる。

　ここでのセキュリティとは、OECD（経済協力開発機構）のコメントに従って、「可用性・秘匿性・保全性」が保たれることを指すものとする。これらについての詳細は、到底ここで説明しきれるものではないが、端的にまとめておく。

　まずシステムの脆弱性について。

• 予想されなかった利用形態
• 仕様上見落とされた潜在的欠陥
• 物理的構造の欠陥もしくは仕様上の特性

　上記のような事柄が、脅威となる行為（攻撃など）と結び付くとリスクとして表れ、「システムの停止による業務の遅滞」や「情報の流出」、「攻撃の踏み台とされる」などの実害を被る危険性がある。

　次に企業・組織・個人に対するリスク・脅威について。人間の行動を機械ほどに正確に定義することは不可能である。よって人的にもたらされる障害については、ある程度絞って例を記述する。

• 機密情報、重要情報の管理体制が整っていない
• 機密情報、重要情報の管理体制が実践されていない　

　上記の脆弱性が脅威となる事柄（侵入の試み、秘密暴露など）と結び付くと、下記のようなリスクが発生する可能性が生じる。

• 組織の施設内部に物理的に侵入されて、情報を持ち去られる
• 組織内部の人間によって故意に情報が漏らされる（背任行為）
• 組織内部の人間による通常オペレーションにおいてミスが発生する

　システムの脆弱性については各方面で盛んに問題となるが、とかく人為的脆弱性についてはシステムほど積極的に取り組まれていないのが現状の問題点である。問題が発生した場合を想定して、組織のセキュリティ強度を測るべくペネトレーション（通貫）を行ったとき、人為的脆弱性を故意に突かれるとシステムのセキュリティは何も役に立たないことがある。それだけに人為的脆弱性は情報セキュリティにおいて極めて重要な要素といえる。

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）