脆弱性 - Wikiwand

トップQs

タイムライン

チャット

視点

Remove ads

脆弱性（ぜいじゃくせい、英: vulnerability）とは、情報セキュリティ・サイバーセキュリティの用語で、コンピュータに存在する情報セキュリティ上の欠陥をいう。セキュリティホールとも呼ばれる^[1]。

ISO 27000における定義

ISO 27000およびそれと同等なJIS Q 27000（ISMSの用語を規定）では脆弱性を

一つ以上の脅威によって付け込まれる可能性のある資産または管理策の弱点^[2]

とより厳密に定義している。

ここで

脅威（threat）とは「システム又は組織に損害を与える可能性がある、望ましくないインシデントの潜在的な原因」^[3]
- （情報セキュリティ）インシデントとは「望まない単独若しくは一連の情報セキュリティ事象，又は予期しない単独若しくは一連の情報セキュリティ事象であって，事業運営を危うくする確率及び情報セキュリティを脅かす確率が高いもの」^[4]
管理策(control)とは「リスクを修正する対策」^[5]
- リスクとは「目的に対する不確かさの影響」^[6]

CAPECにおける脆弱性の分類

Mitre社のCAPECでは攻撃パターンによって脆弱性をツリー状に分類しており、その最上位の分類は以下のものである^[7]：

さらに見る 分類, 分類（邦訳） ...


分類	分類（邦訳）	概要
Engage in Deceptive Interactions^[7]	欺いたやりとりに従事する	「標的を欺き、他の主体ととやりとりしているように見せかける為、標的と不正なやりとりを行う」攻撃パターン^[8]
Abuse Existing Functionality^[7]	既存の機能を悪用する	「悪事を達成する為、もしくは標的となる機能が影響を受けるほどにリソースを枯渇させる為、アプリケーションの１つ以上の機能を使ったり操ったり」^[9]する攻撃パターン
Manipulate Data Structures^[7]	データ構造を操る	「システムのデータ構造の本来意図された使用方法や防御機構に違反するために、そのデータ構造の特徴を操ったり悪用したりする」^[10]攻撃パターン
Manipulate System Resources^[7]	システムリソースを操る	「攻撃者が望む結果を得るために、１つ以上のリソースを操る」^[11]攻撃パターン
Inject Unexpected Items^[7]	予想外のものを挿入する	「入力インターフェースから細工されたデータを挿入するか、あるいはターゲットのシステムに悪意のあるコードをインストールして実行するかして、標的の行動をコントロールするか邪魔するかする」^[12]攻撃パターン
Employ Probabilistic Techniques^[7]	確率的手法を採用する	「標的を欺き、他の主体ととやりとりしているように見せかける為、標的と不正なやりとりを行う」攻撃パターン^[8]
Manipulate Timing and State^[7]	タイミングや状態を操作する	「標的のコードやプロセスの実行フローの防御を回避した行動を取るために、関数の状態や呼び出しタイミングの弱点を利用する」^[13]攻撃パターン
Collect and Analyze Information^[7]	情報を収集し、分析する	「情報の収集と窃取に関する」^[14]攻撃パターン
Subvert Access Control^[7]	アクセスコントロールの破壊	「識別、認証、およびリソースへのアクセスや機能認可の管理に用いているメカニズムの弱点、制限、ないし仮定を能動的に悪用する」^[15]攻撃パターン

Remove ads

脚注

Loading content...

関連項目

Loading content...

外部リンク

Loading content...

Loading related searches...

Wikiwand - on

Seamless Wikipedia browsing. On steroids.

Remove ads

Remove ads