脆弱性の概要(SCAP・JVN)【情報処理安全確保支援士講座】

2026年2月19日

今回は、情報処理安全確保支援士の試験で問われる脆弱性について解説します。

アカリ

セキュリティ事故は、脅威だけでは発生しないんだっけ？

トモル

脆弱性も重なるとインシデントにつながるんじゃなかったっけ？

この記事のまとめ

脆弱性の概要
脆弱性の判断方法
脆弱性と脅威の関係

1. 脆弱性とは
- 1.1. 脆弱性の判断方法
- 1.2. 脆弱性と脅威の関係
2. 脆弱性の概要・例題
3. 脆弱性の概要・まとめ

脆弱性とは

脆弱性とは、組織・情報システム・環境など、情報を取り扱う構成要素の中で情報の漏えい・紛失・改ざんなどのリスクを起こしうる弱点や欠陥のことです。

キュー

脆弱性は英語でVulnerabilityっていうけど、わかりやすくSecurity Hole(セキュリティホール)って呼ばれることもあるで！

情報セキュリティの脆弱性として、一例を紹介します。

脆弱性の種類	具体例
設備上の脆弱性	・建物の構成上の不備・設備のメンテナンス上の不備・入退室管理設備上の不備
技術上の脆弱性	・ネットワーク構成上の欠陥・ソフトウェアのバグ・アクセス制御システムの不備・設定ミス・マルウェア対策の不足
管理上の脆弱性	・情報セキュリティに関する方針の不備・パスワード管理の不備・ユーザ教育の不備・マニュアルの不足・監視体制の不足

OSやソフトウェアにおいては、リリース直後に設計ミスやコード上のミスが発見される場合が多いです。これらのミスは大半が脆弱性となり、不備を放置するとインシデントにつながります。

トモル

市販のソフトウェアやOSだと、パッチとかアップデートでこれらの脆弱性が対策されるよね

脆弱性を悪用するために作成された攻撃をエクスプロイトコード(Exploit code)、脆弱性が発見されてからパッチが提供される前に該当する脆弱性を突いた攻撃をゼロデイ攻撃と呼びます。

📝【出題履歴】令和4年度秋期午後Ⅰ問3 ゼロデイ攻撃に関する出題

【問題文】

過去に，②対策情報が公開される前の脆弱性を悪用した攻撃がコンテナを介して行われ，コンテナエスケープと呼ばれるホストへの事例が発生した事例があったので，注意してください。

【設問】

設問1
(4) 本文中の下線②が示す攻撃の名称を答えよ。

出題:令和4年度秋期午後Ⅰ問3

脆弱性の判断方法

ソフトウェア製品やサービスにおける脆弱性では、自社システムに関係ある情報を収集し緊急度や影響度を考慮しながら適切に対処する必要があります。

NIST(National Institute of Standards and Technology:米国国立標準技術研究所)では、情報セキュリティ対策の自動化と標準化を目指して脆弱性管理・測定・評価などの基準となるSCAP(Security Content Automation Protocol:セキュリティ設定共通化手順)を策定しています。

SCAPの標準仕様を確認しておきましょう。

名称	主な用途
CVE(Common Vulnerability and Exposures:共通脆弱性識別子)	脆弱性を識別する
CCE(Common Configuration Enumeration:共通セキュリティ設定一覧)	セキュリティ設定を識別する
CPE(Common Platform Enumeration:共通プラットフォーム一覧)	製品を識別する
CVSS(Common Vulnerability Scoring System:共通脆弱性評価システム)	脆弱性の深刻度を評価する
XCCDF(eXtensible Configuration Checklist Description Format:セキュリティ設定チェックリスト記述形式)	ェックリストを記述する
OVAL(Open Vulnerability and Assessment Language:セキュリティ検査言語)	脆弱性やセキュリティ設定をチェックする

JVNについて

日本では、標準化を支援するポータルサイトとして、JVN(Japan Vulnerability Notes)があります。

キュー

JVNは脆弱性情報と対策情報を提供していて、IPAとJPCERT/CCが共同運営してるで

JVNの詳細

脆弱性の対策方法や対応状況を掲載
脆弱性を識別するためにCVEを採用

CVSSについて

脆弱性の深刻さを評価するCVSSは、IT製品の脆弱性に対するオープンかつ汎用的な評価手法です。ベンダーに依存せず共通の評価方法を3つリリースしています。

評価基準	詳細
基本評価基準 (Base Metrics)	脆弱性そのものの特性を評価する基準。機密性・完全性・可用性への影響をどこから攻撃可能かといった攻撃元区分や、攻撃する際に必要な特権レベルなどの基準で評価する
現状評価基準 (Temporal Metrics)	脆弱性の現状の深刻度を評価する基準。攻撃コードの出現有無や対策情報が利用可能であるといった基準で評価する
環境評価基準 (Environmental Metrics)	製品利用者の利用環境を含め、最終的な脆弱性の深刻度を評価する基準。攻撃による被害の大きさや対象製品の使用状況を基準に評価する。

Advice

ソフトウェアの脆弱性管理においては、SBOM(Software Bill Of Materials)があります。SBOMによってソフトウェアの構成情報が把握できるため、脆弱性情報の特定もしやすくなります。

脆弱性と脅威の関係

SQLインジェクションやXSSなどのサイバー攻撃や、トロイの木馬・ランサムウェアをはじめとするマルウェアはいずれも脅威です。

これらの脅威だけでは実害は起こらず、ターゲットとなる情報資産と脅威を受け入れる脆弱性があって初めて事故につながります。

脅威と脆弱性の関係を洗い出し、顕在化の確率や顕在化した場合の損失の大きさを測定し、対策を講じることをリスクアセスメントと呼びます。

脆弱性の概要・例題

実際に例題を解いて問題に慣れていきましょう。

問1

脆弱性管理，測定，評価を自動化するためにNISTが策定した基準はどれか。(R.5秋/問12)

ア:FIPS(Federal Information Processing Standards)
イ:SCAP(Security Content Automation Protocol)
ウ:SIEM(Security Information and Event Management)
エ:SOAR(Security Orchestration，Automation and Response)

(ログイン後回答すると、ここに前回の正誤情報が表示されます)

問1の正解を表示

イ

問1の解説を表示

ア:FIPS(Federal Information Processing Standards)
→NISTが制定しているアメリカ合衆国の情報処理標準規格群です。したがって誤りです。

イ:SCAP(Security Content Automation Protocol)
→NISTが制定しているセキュリティ設定共通化手順のことです。したがって正解です。

ウ:SIEM(Security Information and Event Management)
→FW・プロキシサーバ・CASBなどのログデータを収集・分析して、攻撃を検知する機能を高度化したセキュリティ機器です。したがって誤りです。

エ:SOAR(Security Orchestration，Automation and Response)
→サイバー攻撃を監視する専任組織であるSoCにおける、監視業務やインシデント対応手順の自動化、効率化を進める体制や技術をまとめたものです。

これより、「イ」が正解です。

問2

JVNなどの脆弱性対策ポータルサイトで採用されているCWEはどれか。(R.6春/問9)

ア:IT製品の脆弱性を評価する手法
イ:製品を識別するためのプラットフォーム名の一覧
ウ:セキュリティに関連する設定項目を識別するための識別子
エ:ソフトウェア及びハードウェアの脆弱性の種類の一覧

(ログイン後回答すると、ここに前回の正誤情報が表示されます)

問2の正解を表示

エ

問2の解説を表示

CWE(Common Weakness Enumeration)は、MITREが中心となり仕様策定が行われたソフトウェアにおけるセキュリティ上の脆弱性を識別するための共通の基準です。

CWEでは多種多様な脆弱性の種類を脆弱性タイプとして分類し、それぞれにCWE識別子（CWE-ID）を付与して階層構造で体系化しています。上位層に近いほど抽象的な脆弱性タイプを表し、下位層にいくほど具体的な脆弱性タイプや個々の脆弱性を表しています。

脆弱性タイプは、ビュー（View）、カテゴリー（Category）、脆弱性（Weakness）、複合要因（Compound Element）の4種類に分類されます。現在、ビュー（View）として22個、カテゴリー（Category）として105個、脆弱性（Weakness）として638個、複合要因（Compound Element）として12個、合計777個の脆弱性タイプが分類され一覧となっています。

引用元：共通脆弱性タイプ一覧CWE概説

ア:IT製品の脆弱性を評価する手法
→CVSS(Common Vulnerability Scoring System)の説明です。したがって誤りです。

イ:製品を識別するためのプラットフォーム名の一覧
→CPE(Common Platform Enumeration)の説明です。したがって誤りです。

ウ:セキュリティに関連する設定項目を識別するための識別子
→CCE(Common Configuration Enumeration)の説明です。したがって誤りです。

エ:ソフトウェア及びハードウェアの脆弱性の種類の一覧
→CWEの説明です。したがって正解です。

これより、「エ」が正解です。

問3

エクスプロイトコードの説明はどれか。(R.2秋/問3)

ア:攻撃コードとも呼ばれ，ソフトウェアの脆弱性を悪用するコードのことであり，使い方によっては脆弱性の検証に役立つこともある。
イ:マルウェア定義ファイルとも呼ばれ，マルウェアを特定するための特徴的なコードのことであり，マルウェア対策ソフトによるマルウェアの検知に用いられる。
ウ:メッセージとシークレットデータから計算されるハッシュコードのことであり，メッセージの改ざん検知に用いられる。
エ:ログインのたびに変化する認証コードのことであり，窃取されても再利用できないので不正アクセスを防ぐ。

(ログイン後回答すると、ここに前回の正誤情報が表示されます)

問3の正解を表示

ア

問3の解説を表示

ア:攻撃コードとも呼ばれ，ソフトウェアの脆弱性を悪用するコードのことであり，使い方によっては脆弱性の検証に役立つこともある。
→エクスプロイトコードの説明です。したがって正解です。

イ:マルウェア定義ファイルとも呼ばれ，マルウェアを特定するための特徴的なコードのことであり，マルウェア対策ソフトによるマルウェアの検知に用いられる。
→シグネチャコードの説明です。したがって誤りです。

ウ:メッセージとシークレットデータから計算されるハッシュコードのことであり，メッセージの改ざん検知に用いられる。
→MAC(Message Authentication Code)の説明です。したがって誤りです。

エ:ログインのたびに変化する認証コードのことであり，窃取されても再利用できないので不正アクセスを防ぐ。
→ワンタイムパスワードの説明です。したがって誤りです。

これより、「ア」が正解です。

問4

ソフトウェアの脆弱性管理のためのツールとしても利用されるSBOM(Software Bill of Materials)はどれか。(R.6春/問17)

ア:ソフトウェアの脆弱性に対する，ベンダーに依存しないオープンで汎用的な深刻度の評価方法
イ:ソフトウェアのセキュリティアップデートを行うときに推奨される管理プロセス，組織体制などをまとめたガイドライン
ウ:ソフトウェアを構成するコンポーネント，互いの依存関係などのリスト
エ:米国の非営利団体MITREによって策定された，ソフトウェアにおけるセキュリティ上の弱点の種類を識別するための基準

(ログイン後回答すると、ここに前回の正誤情報が表示されます)

問4の正解を表示

ウ

問4の解説を表示

脆弱性管理において、どのソフトウェアにどのバージョンのOSSやライブラリが含まれているか把握できれば管理が容易になります。

SBOMにより、確認された脆弱性をもつコンポーネントが使用されているかどうか、その影響度や影響範囲はどれくらいか判断できるようになるため、SBOMはソフトウェアの脆弱性管理としても利用されています。

ア:ソフトウェアの脆弱性に対する，ベンダーに依存しないオープンで汎用的な深刻度の評価方法
→CVSS(Common Vulnerability Scoring System)の説明です。したがって誤りです。

イ:ソフトウェアのセキュリティアップデートを行うときに推奨される管理プロセス，組織体制などをまとめたガイドライン
→NIST SP800-40の説明です。したがって誤りです。

ウ:ソフトウェアを構成するコンポーネント，互いの依存関係などのリスト
→SBOMの説明です。したがって正解です。

エ:米国の非営利団体MITREによって策定された，ソフトウェアにおけるセキュリティ上の弱点の種類を識別するための基準
CVE(Common Vulnerabilities and Exposures)の説明です。したがって誤りです。

これより、「ウ」が正解です。