脆弱性診断
定義
システムやアプリケーションの既知脆弱性・設定不備を、スキャナーと手動確認によって網羅的に洗い出す活動。侵入可否を検証するペネトレーションテストと異なり、「弱点の列挙と深刻度評価」に主眼を置く。
詳細解説
ネットワーク診断・Web アプリ診断・プラットフォーム診断などの種類があり、結果は脆弱性一覧と深刻度(CVSS 等)として報告されます。定期実施により既知脆弱性の取りこぼしを減らせる一方、複数の弱点を組み合わせた実際の侵入可否までは検証しないため、重要システムではペネトレーションテストと併用するのが一般的です。
ポイント
- 既知脆弱性・設定不備を網羅的に列挙する活動
- スキャナー主体に手動確認を加えて精度を高める
- 結果は脆弱性一覧と深刻度(CVSS 等)で報告される
- 侵入可否の検証はペネトレーションテストと併用する
関連用語
脆弱性診断が登場する記事・比較
よくある質問
脆弱性診断とは?
システムやアプリケーションの既知脆弱性・設定不備を、スキャナーと手動確認によって網羅的に洗い出す活動。侵入可否を検証するペネトレーションテストと異なり、「弱点の列挙と深刻度評価」に主眼を置く。
脆弱性診断について詳しく知るには?
ネットワーク診断・Web アプリ診断・プラットフォーム診断などの種類があり、結果は脆弱性一覧と深刻度(CVSS 等)として報告されます。定期実施により既知脆弱性の取りこぼしを減らせる一方、複数の弱点を組み合わせた実際の侵入可否までは検証しないため、重要システムではペネトレーションテストと併用するのが一般的です。
脆弱性診断のポイントは?
既知脆弱性・設定不備を網羅的に列挙する活動 スキャナー主体に手動確認を加えて精度を高める 結果は脆弱性一覧と深刻度(CVSS 等)で報告される 侵入可否の検証はペネトレーションテストと併用する
同じカテゴリの用語(防御・対策)
利用者が求めたOAuthアプリ権限を、管理者が審査して承認・却下するための運用フロー。…
大量のアラートや低品質な通知により、担当者が重要な警告を見逃しやすくなる状態。…
APIの認証、認可、入力検証、レート制限、監査ログ、機密情報保護を設計・運用するセキュリティ領域。…
コンテナイメージやパッケージなどの成果物に署名し、配布前後で改ざんされていないことを確認する対策。…
外部公開資産、クラウド、SaaS、ドメイン、証明書など、攻撃対象になりうる面を継続的に把握・管理する活動。…
一定期間バックアップを変更・削除できない状態にし、ランサムウェアや誤操作から復旧データを守る考え方。…
関連するレッスン
組織を守る実践的な防御策を学ぶ