パッチ未公開の脆弱性に関する脅威「ゼロデイ脆弱性」と「ゼロデイエクスプロイト」の違いとは？

セキュリティ分野に「ゼロデイ脆弱性」と「ゼロデイエクスプロイト」という2つの専門用語がある。一見すると同じような単語だが、両者の違いは何か。

[Andrew Froehlich，TechTarget]

　よく似た２つのセキュリティ用語「ゼロデイ脆弱性」と「ゼロデイエクスプロイト」の違いは何か、これらへの対策が、なぜ優先すべきセキュリティ課題なのかを見ていこう。

記事内目次

• 「ゼロデイ」の意味
• ゼロデイ脆弱性とゼロデイエクスプロイトの違い
• ゼロデイ脆弱性とゼロデイエクスプロイトへの対策（会員限定）

「ゼロデイ」の意味

　「ゼロデイ」とは、脆弱（ぜいじゃく）性が見つかってから修正パッチが提供されるまでの期間を指す。

　企業のIT環境に潜む脆弱性を攻撃者が悪用すると、深刻な事態になりかねない。ファームウェア、ハードウェア、OS、ソフトウェアに問題が見つかったら、ベンダーはパッチを公開する必要がある。ユーザー企業がパッチを適用すれば、問題は解消され、脅威とはならない。

　ベンダーが脆弱性を発見しなかったらどうなるのか。あるいは脆弱性を発見しても、きちんとタイムリーに修正しなかったら、どうなるのか。この場合、ゼロデイを招く恐れがある。パッチが提供されていない脆弱性が存在し、その存在を攻撃者が知っている状況だ。このことからパッチの開発と公開においては、スピードが極めて重要になる。

併せて読みたいお薦め記事

ゼロデイ攻撃への対策

• 「Windows 10」が救世主に？　ゼロデイ攻撃に対応するセキュリティ機能とは
• セキュリティパッチの検証と導入はスピードが命、具体的な進め方は

新たなセキュリティ対策技術

• 今までの「エンドポイントセキュリティ」が不十分な理由と、「EDR」が必要な理由
• ネットワークセキュリティにおける機械学習の光と闇
• 「AIセキュリティツール」はいつ、どのように使えば有効？　活用例を紹介

ゼロデイ脆弱性とゼロデイエクスプロイトの違い

　この状況に関連する2つの用語が、ゼロデイ脆弱性とゼロデイエクスプロイトだ。いずれも「ゼロデイ」で始まるが、意味は全く違う。