サイバー攻撃における「脆弱性」は、サイバーセキュリティの中でも、必要対策を事前に把握しきれないという特殊な性質を帯びている。ファイアウォール設定やなりすまし対策と異なり、脆弱性はゼロデイ攻撃の事例のように、防御そのものの無効化という形で突然露出する。近年報告されているサイバー攻撃の対象がフォーティネット社のVPN 装置であるのは、市場シェアの大きさから、攻撃者が金銭を得られる可能性が高いことが多分に影響しているが、市場における報道情報の解釈は必ずしも妥当であるとは言えないと思慮される。本セミナーでは、NIST CSF/CISA CDMモデルをフレームワークとし、特に脆弱性にまつわるリスク構造を解説するとともに、今後各医療機関で必要となる対策＝アクティブディフェンスの重要性について、厚労省IT-BCP 班研究の視点を伴って提案する。