【データセンター用語集】脆弱性とは

　OSをはじめとする特定のソフトウェア、あるいはシステムの観点において、開発者・管理者が意図しない動作が起こってしまう欠陥・弱点のこと。英語では「Vulnerability」。ソフトウェアの更新・アップデートによって修正できるケースが大半だが、放置するとサイバー攻撃の手口として悪用されかねない。

　一般的にソフトウェアは、複雑なプログラムの総体であることから、設計ミスやなんらかの不具合を含んでいる。「バグがないソフトウェアは作れない」と言われるが、脆弱性が全くないソフトウェアを作ることもまた困難だ。

　バグは本来なら実行される動作が上手く動作しないことを指すのに対し、意図しない動作が実行されてしまうことを脆弱性と呼び、基本的には区別される。ただし、ソフトウェアのバグを起因とする脆弱性は存在しうる。深刻な脆弱性の代表例としては、2014年、オープンソースの暗号ソフトウェアである「OpenSSL」で確認された「Heartbleed」などがある。

　仮に1つのECサイトを運用するとして、その背後ではWeb表示用のサーバー、会員管理データベース、死活監視など各種のソフトウェアが同時並行的に動作している。つまり、想像以上の数のソフトウェアについて、定期的なソフトウェア更新作業が必要となることを、常に留意しなければならない。

　脆弱性については、その知見・情報を体系化しようという試みが長らく続けられている。脆弱性の種類を分類する「CWE（共通脆弱性タイプ）」、個別製品の脆弱性を識別する「CVE（共通脆弱性識別子）」などがよく知られている。