PoC(Proof-of-Concept)とは

PoC(Proof-of-Concept)とは、一般的には、「コンセプト(概念)を実証する＝概念実証」の意味で、新しいコンセプトやアーキテクチャを説明したり、実証したりするために作られる製品や設備、ソフトウェアのこと。コンピューターセキュリティの分野では、「概念実証コード」などとも呼ばれ、何らかの脆弱性を悪用した攻撃が実際に有効であることを検証するためのプログラムを指す。ほぼ「エクスプロイトコード」と同義で用いられる。

脆弱性がどういった条件下で引き起こされ、どのように悪用され、どういった影響があるかといった範囲を証明するために、検証用のコードが作成される。このように、PoCはセキュリティ対策を講じるためのプログラムであるため、これを用いれば脆弱性の対策が可能になる。

その一方で、悪用されればシステムを攻撃するための攻撃ツールにもなりうる。PoCとして公開されているプログラムの中には、ウィルスやワームに改変可能なものもある。たとえ検証目的であっても、取り扱いには十分な注意が必要である。

・エクスプロイトコードとは(セキュリティ用語解説)