脆弱ぜいじゃく性せい

脆弱ぜいじゃく性せい（ぜいじゃくせい、英えい: vulnerability）とは、情報じょうほうセキュリティ・サイバーセキュリティの用語ようごで、コンピュータに存在そんざいする情報じょうほうセキュリティ上じょうの欠陥けっかんをいう。セキュリティホールとも呼よばれる^[1]。

ISO 27000における定義ていぎ

ISO 27000およびそれと同等どうとうなJIS Q 27000（ISMSの用語ようごを規定きてい）では脆弱ぜいじゃく性せいを

一ひとつ以上いじょうの脅威きょういによって付つけ込こまれる可能かのう性せいのある資産しさんまたは管理かんり策さくの弱点じゃくてん^[2]

とより厳密げんみつに定義ていぎしている。

ここで

脅威きょうい（threat）とは「システム又または組織そしきに損害そんがいを与あたえる可能かのう性せいがある、望のぞましくないインシデントの潜在せんざい的てきな原因げんいん」^[3]
- （情報じょうほうセキュリティ）インシデントとは「望のぞまない単独たんどく若もしくは一連いちれんの情報じょうほうセキュリティ事象じしょう，又または予期よきしない単独たんどく若もしくは一連いちれんの情報じょうほうセキュリティ事象じしょうであって，事業じぎょう運営うんえいを危あやうくする確率かくりつ及および情報じょうほうセキュリティを脅おびやかす確かく率りつが高たかいもの」^[4]
管理かんり策さく(control)とは「リスクを修正しゅうせいする対策たいさく」^[5]
- リスクとは「目的もくてきに対たいする不確ふたしかさの影響えいきょう」^[6]

CAPECにおける脆弱ぜいじゃく性せいの分類ぶんるい

Mitre社しゃのCAPECでは攻撃こうげきパターンによって脆弱ぜいじゃく性せいをツリー状じょうに分類ぶんるいしており、その最さい上位じょういの分類ぶんるいは以下いかのものである^[7]：


分類ぶんるい	分類ぶんるい（邦訳ほうやく）	概要がいよう
Engage in Deceptive Interactions^[7]	欺あざむいたやりとりに従事じゅうじする	「標的ひょうてきを欺あざむき、他たの主体しゅたいととやりとりしているように見みせかける為ため、標的ひょうてきと不正ふせいなやりとりを行おこなう」攻撃こうげきパターン^[8]
Abuse Existing Functionality^[7]	既存きそんの機能きのうを悪用あくようする	「悪事あくじを達成たっせいする為ため、もしくは標的ひょうてきとなる機能きのうが影響えいきょうを受うけるほどにリソースを枯渇こかつさせる為ため、アプリケーションの１ひとつ以上いじょうの機能きのうを使つかったり操あやつったり」^[9]する攻撃こうげきパターン
Manipulate Data Structures^[7]	データ構造こうぞうを操あやつる	「システムのデータ構造こうぞうの本来ほんらい意図いとされた使用しよう方法ほうほうや防御ぼうぎょ機構きこうに違反いはんするために、そのデータ構造こうぞうの特徴とくちょうを操あやつったり悪用あくようしたりする」^[10]攻撃こうげきパターン
Manipulate System Resources^[7]	システムリソースを操あやつる	「攻撃こうげき者しゃが望のぞむ結果けっかを得えるために、１ひとつ以上いじょうのリソースを操あやつる」^[11]攻撃こうげきパターン
Inject Unexpected Items^[7]	予想よそう外がいのものを挿入そうにゅうする	「入力にゅうりょくインターフェースから細工ざいくされたデータを挿入そうにゅうするか、あるいはターゲットのシステムに悪意あくいのあるコードをインストールして実行じっこうするかして、標的ひょうてきの行動こうどうをコントロールするか邪魔じゃまするかする」^[12]攻撃こうげきパターン
Employ Probabilistic Techniques^[7]	確かく率りつ的てき手法しゅほうを採用さいようする	「標的ひょうてきを欺あざむき、他たの主体しゅたいととやりとりしているように見みせかける為ため、標的ひょうてきと不正ふせいなやりとりを行おこなう」攻撃こうげきパターン^[8]
Manipulate Timing and State^[7]	タイミングや状態じょうたいを操作そうさする	「標的ひょうてきのコードやプロセスの実行じっこうフローの防御ぼうぎょを回避かいひした行動こうどうを取とるために、関数かんすうの状態じょうたいや呼よび出だしタイミングの弱点じゃくてんを利用りようする」^[13]攻撃こうげきパターン
Collect and Analyze Information^[7]	情報じょうほうを収集しゅうしゅうし、分析ぶんせきする	「情報じょうほうの収集しゅうしゅうと窃取せっしゅに関かんする」^[14]攻撃こうげきパターン
Subvert Access Control^[7]	アクセスコントロールの破壊はかい	「識別しきべつ、認証にんしょう、およびリソースへのアクセスや機能きのう認可にんかの管理かんりに用もちいているメカニズムの弱点じゃくてん、制限せいげん、ないし仮定かていを能動のうどう的てきに悪用あくようする」^[15]攻撃こうげきパターン

脚注きゃくちゅう

[脚注きゃくちゅうの使つかい方かた]

出典しゅってん

^ “脆弱ぜいじゃく性せい（ぜいじゃくせい）とは？｜どんな危険きけんがあるの？｜基礎きそ知識ちしき｜国民こくみんのための情報じょうほうセキュリティサイト”. www.soumu.go.jp. 2022年ねん8月がつ8日にち閲覧えつらん。
^ JIS Q 27000:2014 箇条かじょう 2.89。
^ JIS Q 13335-1 箇条かじょう 2.25、JIS Q 27000:2014 箇条かじょう 2.83。
^ JIS Q 27000:2014 箇条かじょう 2.36
^ JIS Q 27000:2014 箇条かじょう 2.16。
^ JIS Q 31000:2010 箇条かじょう 2.1、JIS Q 27000:2014 箇条かじょう 2.68。
^ ^a ^b ^c ^d ^e ^f ^g ^h ⁱ ^j “CAPEC-1000: Mechanisms of Attack”. 2018年ねん11月30日にち閲覧えつらん。
^ ^a ^b “CAPEC-156: Engage in Deceptive Interactions”. 2018年ねん11月30日にち閲覧えつらん。
^ “CAPEC-210: Abuse Existing Functionality”. 2018年ねん11月30日にち閲覧えつらん。
^ “CAPEC-255: Manipulate Data Structures”. 2018年ねん11月30日にち閲覧えつらん。
^ “CAPEC-262: Manipulate System Resources”. 2018年ねん11月30日にち閲覧えつらん。
^ “CAPEC-152: Inject Unexpected Items”. 2018年ねん11月30日にち閲覧えつらん。
^ “CAPEC-172: Manipulate Timing and State”. 2018年ねん12月3日にち閲覧えつらん。
^ “CAPEC-118: Collect and Analyze Information”. 2018年ねん12月3日にち閲覧えつらん。
^ “CAPEC-225: Subvert Access Control”. 2018年ねん12月3日にち閲覧えつらん。

外部がいぶリンク

ISMS関連かんれんのISO/IECとJIS
- “JIS検索けんさく”. 日本にっぽん工業こうぎょう標準ひょうじゅん調査ちょうさ会かい JISC（Japanese Industrial Standards Committee）. 2016年ねん8月がつ10日とおか閲覧えつらん。 JIS本文ほんぶんを閲覧えつらん可能かのう
“CAPEC Common Attack Pattern Enumeration and Classification. A Common Resource for Identifying and Understanding Attacks”. Mitre. 2018年ねん12月3日にち閲覧えつらん。
“Welcome To The Web Application Security Consortium Project page”. 2018年ねん12月がつ10日とおか閲覧えつらん。
- “WASC THREAD CLASSIFICATION version 2.0.0” (PDF). 2018年ねん12月がつ10日とおか閲覧えつらん。
- “Web Security Consortium: 脅威きょういの分類ぶんるい version 1.0.0” (PDF). 2018年ねん12月がつ10日とおか閲覧えつらん。

この項目こうもくは、コンピュータに関連かんれんした書かきかけの項目こうもくです。この項目こうもくを加筆かひつ・訂正ていせいなどしてくださる協力きょうりょく者しゃを求もとめています（PJ:コンピュータ/P:コンピュータ）。

[1] “脆弱ぜいじゃく性せい（ぜいじゃくせい）とは？｜どんな危険きけんがあるの？｜基礎きそ知識ちしき｜国民こくみんのための情報じょうほうセキュリティサイト”. www.soumu.go.jp. 2022年ねん8月がつ8日にち閲覧えつらん。

[2] JIS Q 27000:2014 箇条かじょう 2.89。

[3] JIS Q 13335-1 箇条かじょう 2.25、JIS Q 27000:2014 箇条かじょう 2.83。

[4] JIS Q 27000:2014 箇条かじょう 2.36

[5] JIS Q 27000:2014 箇条かじょう 2.16。

[6] JIS Q 31000:2010 箇条かじょう 2.1、JIS Q 27000:2014 箇条かじょう 2.68。

[:0-7] ^ ^a ^b ^c ^d ^e ^f ^g ^h ⁱ ^j “CAPEC-1000: Mechanisms of Attack”. 2018年ねん11月30日にち閲覧えつらん。

[:1-8] “CAPEC-156: Engage in Deceptive Interactions”. 2018年ねん11月30日にち閲覧えつらん。

[9] “CAPEC-210: Abuse Existing Functionality”. 2018年ねん11月30日にち閲覧えつらん。

[10] “CAPEC-255: Manipulate Data Structures”. 2018年ねん11月30日にち閲覧えつらん。

[11] “CAPEC-262: Manipulate System Resources”. 2018年ねん11月30日にち閲覧えつらん。

[12] “CAPEC-152: Inject Unexpected Items”. 2018年ねん11月30日にち閲覧えつらん。

[13] “CAPEC-172: Manipulate Timing and State”. 2018年ねん12月3日にち閲覧えつらん。

[14] “CAPEC-118: Collect and Analyze Information”. 2018年ねん12月3日にち閲覧えつらん。

[15] “CAPEC-225: Subvert Access Control”. 2018年ねん12月3日にち閲覧えつらん。

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]