脆弱性と修正プログラム（セキュリティパッチ）の適用

　情報セキュリティにおける脆弱性とは、コンピューターシステムやネットワークなどのセキュリティに関する欠陥を指します。狭義にはソフトウェアやハードウェアの欠陥を指しますが、不適切な設定（例：メールのオープンリレー、推測されやすいパスワード）なども広義では脆弱性と言うことができます。
　悪意のある攻撃者がシステムに不正アクセスを行ったり、機密情報を盗み出したり、サービスを乗っ取ったりすることができのは、ほとんどの場合、これらの脆弱性をついた攻撃によるものです。

　脆弱性は米国の非営利団体であるマイター社（Mitre Corporation）がCVE（Common Vulnerabilities and Exposures）という識別番号を付与し、アメリカ国立標準技術研究所（NIST）が運営する脆弱性データベース（NVD）で管理されおります。つまり、CVE番号を使って、全世界で脆弱性を一意に識別することができる訳です。

　それではCVE番号が付与される脆弱性はどれぐらいの数あるでしょうか。
　下図のグラフは2013年から2021年までのCVE数の遷移です。2017年を境にCVE数が大きく増加傾向にあり、2020年には年間18,000個以上の脆弱性が発見・登録されました。平均一日50個以上の計算になります。

　CVE情報には対象となるソフトウェア・ファームウェア（ハードウェアを制御する専用のソフトウェア）のバーション情報、脆弱性の深刻度（CVSSという指標で表現、0～10で数値化）、攻撃手法の有無、修復方法、などの情報が掲載されております。修復情報は主にソフトウェアの修正プログラム情報になります。
　つまり脆弱性による攻撃をかわすためには修正プログラムの適用（セキュリティパッチの適用とも言う）が最も効果的な対策となります。Windows であればWindowsUpdateにより修正プログラムを一括で適用することができます。

情報セキュリティ対策の必要条件の中で最も重要な要素は、「修正プログラムをできるだけ早期に適用すること」と言えます。