ITにおける脆弱(ぜいじゃく)性とは、ソフトウェアに含まれる、セキュリティ侵害の起点になり得る欠陥を指す。侵入者は脆弱性をサイバー攻撃経路として悪用することで、標的のシステムで悪意のあるプログラム(マルウェア)の実行や、メモリへのアクセスができるようになる。(続きはページの末尾にあります)
セキュリティアラートが発せられたとき、社内で情報を共有するにはどうすればいいのか。Adobe製品の具体的な脆弱性を取り上げ、社内通知用のメール文面を作成した。
1カ月で2度目となるCloudflareのシステム障害が発生した。原因は攻撃ではなく、深刻な脆弱性を防ぐためのセキュリティ対策だったという。複雑化するシステム運用において、変更管理のリスクをどう最小化すべきか。
Microsoftによる同社製品の脆弱性修正が後を絶たない。2025年、公開されたパッチは1100件を超えた。こんなに脆弱性が多い理由と、今、特に注意が必要な3つの脆弱性を取り上げる。
PromptArmorは、サイバー攻撃者がGoogleの「Google Antigravity」を悪用し、ユーザーの認証情報や機密コードを盗み出す危険性があると警告している。
サポートが終了した「Windows 10」に脆弱性が見つかり、ユーザー企業は攻撃リスクにさらされている。Microsoftはこの脆弱性に対し、どのような対策を講じたのか。
Oracleは同社製品のセキュリティアップデート「Critical Patch Update - October 2025」を発表した。攻撃者が公開済みの脆弱性を悪用しようとする動きがあり、同社は「速やかにパッチを適用してほしい」と警告する。
2025年9月にAppleがリリースした「iOS 26」に脆弱性が見つかり、同社はセキュリティアップデートを公開した。エンドユーザーが気付かないうちにメモリが破壊される恐れがある脆弱性だという。その仕組みとは。
AIコーディングツールの普及が進む一方で、AIコーディングツールが生成するコードには脆弱(ぜいじゃく)性が含まれる傾向にある。どのように対処すればいいのか。
サイバー攻撃はAI技術の進化によって巧妙化しており、従来のセキュリティでは対抗できなくなりつつある。この状況を打破する可能性を秘めるアプローチとして、Cisco Systemsが提唱するセキュリティ戦略とは。
現在の暗号が量子コンピューティングで破られる未来は迫っている。そのための備えとして、AWSやGoogleなどのクラウドベンダーは、PQC移行を支援するツールやサービスを提供し始めている。企業が今すぐできることとは。
量子コンピューティングが発展し、現在の暗号が破られる「Q-Day」に備えるためには、耐量子暗号(PQC)への移行が不可欠だ。クラウドサービスがその切り札になり得るのはなぜか。移行を阻む4つの課題とは何か。
英国で長きにわたって話題となっている、会計システムに起因するえん罪事件の最初の調査報告者が公開された。何が問題だったのか、どのような人的影響があったのかを報告書の記述から解説する。
オンプレミス版の社内ポータルサイト構築ツール「SharePoint Server」の脆弱性を悪用したランサムウェア攻撃が拡大している。パッチを適用しただけでは防ぎ切れなかった、その実態とは。
GoogleのWebブラウザ「Chrome」で、すでに攻撃が確認されている深刻な脆弱性が見つった。今回の脆弱性は「型混乱」と呼ばれる。その危険性と、想定される被害とは何か。
AIエージェントによる“業務の代替”が現実味を帯びてきた今、ビジネス部門とIT部門の間に「シャドーAI」の新たなリスクが生じている。企業は今、そのリスクにどう向き合うべきか。
「Microsoft SharePoint Server」に見つかった脆弱性が波紋を呼んでいる。特に注意が必要なのは、同製品が広く採用されている医療機関だ。この脆弱性はなぜ非常に危険なのか。
「Microsoft SharePoint Server」に脆弱性が見つかり、攻撃への悪用も確認されている。被害組織は全世界にある。パッチは出たが、その適用だけでは不十分だという。なぜなのか。
Citrix Systemsのネットワーク機器に危険な脆弱性が見つかった。セキュリティ専門家によると、Boeingも被害を受けた脆弱性「Citrix Bleed」と同等の危険性を持つ。その脅威の正体とは。
AIコーディングツールの導入により、開発現場の生産性は飛躍的に向上している。一方で、見過ごせないセキュリティリスクも浮かび上がっている。AIによるコード生成に潜む代表的なリスクを5つ解説する。
企業の仮想化インフラの中核を担うVMware製品に関して、ハッキングコンテストで攻撃が成功した他、複数の脆弱性が報告された。Broadcomによるサポート方針の転換も重なり、企業ユーザーの間では不安の声が高まる。
攻撃者は脆弱性を
といった、さまざまなサイバー攻撃手法に悪用する。脆弱性が発覚してから、その脆弱性が解消されるまでの期間を狙うサイバー攻撃を「ゼロデイ攻撃」と呼ぶ。
脆弱性対策は、ハードウェアやソフトウェアの攻撃経路になり得る欠陥を特定し、分析、対処する手法で構成される。脆弱性対策は、一般的には以下のプロセスを踏む。
攻撃者は、組織のITシステムの脆弱性を常に探している。悪用可能な脆弱性を発見すると、システムへの侵入や企業データへのアクセス、業務運営の妨害を試みる。さまざまなシステムやアプリケーションを保有する大規模な組織では、一つの脆弱性が組織全体への攻撃のきっかけとなる可能性がある。
医療機関や金融機関は、法律や条例で脆弱性対策が求められる場合がある。HIPAA(医療保険の相互運用性と説明責任に関する法律)、金融機関の情報管理やプライバシー保護の要件を定めるGLBA(グラム・リーチ・ブライリー法)、クレジットカード業界のセキュリティ基準のPCI DSS(Payment Card Industry Data Security Standard)といった法律や業界規制は、脆弱性対策の実践を義務付けている。国際標準化機構が策定した情報セキュリティマネジメントシステム(ISMS)の国際規格「ISO/IEC 27001」も、脆弱性対策を要求している。
上述のように脆弱性対策は単一のタスクではなく、ITセキュリティチームが継続的に実施する複数のステップからなるプロセスだ。未適用のパッチや設定ミス、保護されていない機密データなどの問題を調査する脆弱性診断に加えて、実際に攻撃が起こった時のリスクを測定するために、システムの脆弱性を意図的に悪用して検証するペネトレーションテストも含まれる。
脆弱性スキャンとペネトレーションテストの結果を用いて、潜在的な脅威を評価するため脆弱性評価を実施する。特定された脆弱性に関する情報は脅威インテリジェンスソフトウェアに取り込まれ、攻撃を受けた場合の影響の大きさや脆弱性の悪用の可能性に基づいてスコア化される。例えばシステムでリモートコードの実行を可能にする未適用のパッチは、高リスクと判断される可能性が高い。
セキュリティチームは、脆弱性の性質に合わせてさまざまな対策を講じ、検出された問題の優先順位付けと修復を実行する。組織のセキュリティチームは、脆弱性が発見されたシステムを担当するIT運用チームに対して、修復を依頼する。IT運用チームが修正パッチを適用した後に、セキュリティチームは脆弱性が適切に修正されたことを確認するためのスキャンを実行する。
脆弱性対策のプロセス全体を通じて、脆弱性の発見や修復の状況は追跡できるようにする。こうすることで組織のセキュリティリーダーと経営幹部は、セキュリティリスクの低減とコンプライアンスのための取り組みをリアルタイムで把握できる。
脆弱性対策のプロセスは、必ずしも順調に進むとは限らない。組織が対策を実施するときに直面する一般的な課題を以下に挙げる。
ITmediaはアイティメディア株式会社の登録商標です。
