コンピュータ関連のプログラムに潜む欠点や盲点、弱点のことで、「セキュリティ・ホール」とも呼ばれる。
情報セキュリティの文脈で「脆弱性」といえば、OS(オペレーション・システム)やアプリケーション(ソフトウェア)、ネットワーク、さらには関連プロトコルにおけるセキュリティ上の欠陥のことであり、解消すべき問題点を意味する。
脆弱性は、組まれたプログラムから後になって見つかるバグや、仕様に内包されていたシステム上の欠陥など、開発側の不備によって発生する場合もあれば、予期しない利用や設計上の見落としなど、開発側の盲点を衝いて第三者が悪用して発覚する場合もある。
生年月日や電話番号など、第三者でもすぐに見当のつくようなパスワードを使うといった、ユーザー側の設定の不備や、組織内の管理体制が不十分で個人情報が外部に漏洩してしまう場合なども、(人為的)「脆弱性」と呼ばれる。
なお、英語の「Vulnerability」は、人権や倫理がテーマのときには「傷つきやすさ」と訳され、解消すべきものとしてではなく、人間らしさを表す積極的な意味で用いられている。たとえば、ユネスコの「生命倫理と人権に関する世界宣言」(2005年)においては、「傷つきやすさ」という語によって、人間が、病気(心的病を含む)や障害、老化、死を意識して生きている存在であるということを示している。
セキュリティ上における意味
悪意ある第三者は、脆弱性を利用して攻撃を仕掛けてくるおそれがある。そのために、脆弱性が発見された場合、開発側はただちに情報公開を行い、ユーザーに問題点と対策を告知する義務がある。場合によっては、公表や対策の告知までの時間差を利用した攻撃も行われるため、ユーザー側も、パッチの適用やセキュリティ対策ソフトウェアのアップデートなど万全の対策をとることが望ましい。
