1.脆弱性とは
他の試験の過去問では、脆弱性に関して、「情報資産に内在して、リスクを顕在化させる弱点(H22AP春AM問41) 」と述べられています。
ただ、一言で弱点と言っても、いろいろあります。たとえば、分かりやすいのがOSなどのバグでしょう。これらはセキュリティパッチを適用して修正します。または、ファイアウォールにて外部からの通信が許可されるというセキュリティホールも脆弱性と言えます。加えて、人が間違えて情報漏えいをしてしまうという人的な脆弱性もあります。

参考ですが、ソフトウェア等脆弱性関連情報取扱基準では、脆弱性を次のように定義しています。
1.脆弱性
ソフトウエア等において、コンピュータウイルス、コンピュータ不正アクセス等の攻撃によりその機能や性能を損なう原因となり得る安全性上の問題箇所。ウェブアプリケーションにあっては、ウェブサイト運営者がアクセス制御機能により保護すべき情報等に誰もがアクセスできるような、安全性が欠如している状態を含む。

2.脆弱性の指標
脆弱性という抽象的なものを明確に表すものとして、以下があります。
(1)CVE
CVE(Common Vulnerabilities and Exposures)とは、野ざらし(exposure)になったCommon(共通の)Vulnerabilities(脆弱性)という意味で、脆弱性の通番です。CVE-西暦年-4桁の通番で表されます。
たとえば、H26年に話題になったOpenSSL の脆弱性は「CVE-2014-0160」が振られています。
https://www.ipa.go.jp/security/ciadr/vul/20140408-openssl.html

過去問(H25SC秋午前2問5)では、「JVN (Japan Vulnerability Notes)などの脆弱性対策ポータルサイトで採用されているCVE(Common Vulnerabilities and Exposures)識別子の説明はどれか」として、「製品に含まれる脆弱性を識別するための識別子である」を正解としています。

過去問(H28秋SC午後Ⅰ問2)を見てみましょう。
〔脆弱性及びその悪用〕
ソフトウェアの脆弱性の情報を組織間で一意に特定し共有できる仕組みが運用されている。例えば,脆弱性が報告されると,[ a ]識別子が付番され,日本国内ではJPCERT/CCなどが公表し注意喚起している。ただし,公表前に悪用されるものもあり,[ b ]脆弱性と呼ばれる[ b ]脆弱性は,特定の組織を狙う攻撃,つまり[ c ]型攻撃でしばしば悪用される。
さて、空欄に当てはまる言葉ですが、正解は以下です。
a CVE
b ゼロデイ
c 標的

(2)CWE
CVEと似た言葉に、CWEがあります。タイプミスではありません。別の言葉です。
IPAでは「共通脆弱性タイプ一覧CWE概説」というページがあります。(https://www.ipa.go.jp/security/vuln/CWE.html
ここでは、「CWEでは、SQLインジェクション、クロスサイト・スクリプティング、バッファオーバーフローなど、多種多様にわたるソフトウェアの脆弱性を識別するための、脆弱性の種類(脆弱性タイプ)の一覧を体系化して提供しています。」と述べています。

例えば、以下のように脆弱性タイプを整理しています。
CWE-78:OSコマンド・インジェクション
CWE-79:クロスサイト・スクリプティング(XSS)
CWE-89:SQLインジェクション
 
過去問(H26年春SC午前2)を見てみましょう。
問14 JVN(Japan Vulnerability Notes)などの脆弱性対策ポータルサイトで採用されているCWE(Common Weakness Enumeration)はどれか。
ア 基本評価基準,現状評価基準,環境評価基準の三つの基準でIT製品の脆弱性を評価する手法
イ 製品を識別するためのプラットフォーム名の一覧
ウ セキュリティに関連する設定項目を識別するための識別子
エ ソフトウェアの脆弱性の種類の一覧
ちなみに、アは次に解説するCVSSです。正解はエです。

ここで、JVNについて補足します。JVNはJPCERT/CCとIPAが共同で運用しています。JVNのサイト(http://jvn.jp/nav/jvn.html)では、JVN(Japan Vulnerability Notes)に関して次のように述べています。
日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供し、情報セキュリティ対策に資することを目的とする脆弱性対策情報ポータルサイトです。

(3)CVSS
情報セキュリティスペシャリスト試験の過去問(H25SC春午前2問10)では、CVSS(Common Vulnerability Scoring System) に関して、「基本評価基準,現状評価基準,環境評価基準の三つの基準でIT製品のセキュリティ脆弱性の深刻さを評価するもの」と述べられている。
詳しくはCVSSの記事にて解説しています。