脆弱性診断
定義
システムやアプリケーションの既知脆弱性・設定不備を、スキャナーと手動確認によって網羅的に洗い出す活動。侵入可否を検証するペネトレーションテストと異なり、「弱点の列挙と深刻度評価」に主眼を置く。
詳細解説
ネットワーク診断・Web アプリ診断・プラットフォーム診断などの種類があり、結果は脆弱性一覧と深刻度(CVSS 等)として報告されます。定期実施により既知脆弱性の取りこぼしを減らせる一方、複数の弱点を組み合わせた実際の侵入可否までは検証しないため、重要システムではペネトレーションテストと併用するのが一般的です。
ポイント
- 既知脆弱性・設定不備を網羅的に列挙する活動
- スキャナー主体に手動確認を加えて精度を高める
- 結果は脆弱性一覧と深刻度(CVSS 等)で報告される
- 侵入可否の検証はペネトレーションテストと併用する
関連用語
脆弱性診断が登場する記事・比較
よくある質問
脆弱性診断とは?
システムやアプリケーションの既知脆弱性・設定不備を、スキャナーと手動確認によって網羅的に洗い出す活動。侵入可否を検証するペネトレーションテストと異なり、「弱点の列挙と深刻度評価」に主眼を置く。
脆弱性診断について詳しく知るには?
ネットワーク診断・Web アプリ診断・プラットフォーム診断などの種類があり、結果は脆弱性一覧と深刻度(CVSS 等)として報告されます。定期実施により既知脆弱性の取りこぼしを減らせる一方、複数の弱点を組み合わせた実際の侵入可否までは検証しないため、重要システムではペネトレーションテストと併用するのが一般的です。
脆弱性診断のポイントは?
既知脆弱性・設定不備を網羅的に列挙する活動 スキャナー主体に手動確認を加えて精度を高める 結果は脆弱性一覧と深刻度(CVSS 等)で報告される 侵入可否の検証はペネトレーションテストと併用する
同じカテゴリの用語(防御・対策)
利用者が求めたOAuthアプリ権限を、管理者が審査して承認・却下するための運用フロー。…
管理画面や管理APIがインターネットから到達可能な状態。認証強度や脆弱性次第で重大リスクになる。…
Kubernetesでリソース作成・更新リクエストを受け付ける前に、検証や変更を行う制御ポイント。…
Kubernetesなどでリソース作成前に、署名、権限、ラベル、セキュリティ設定を検査して許可・拒否するポリシー。…
組織で利用しているAIサービス、モデル、エージェント、APIキー、データ連携、責任者を一覧化した台帳。…
大量のアラートや低品質な通知により、担当者が重要な警告を見逃しやすくなる状態。…
関連するレッスン
組織を守る実践的な防御策を学ぶ