本文へスキップ
お問い合わせ

テクノロジ系 / セキュリティ

脆弱性診断

脆弱性診断は、システムやWebアプリに攻撃されやすい弱点がないかを調査し、改善点を洗い出す活動です。

もう少し詳しく

診断では、既知の脆弱性、設定不備、不要なサービス、古いソフトウェア、SQLインジェクションやXSSなどを確認します。ツールによる自動スキャンだけでなく、設計や運用を含む確認もあります。ペネトレーションテストが実際の侵入可能性を検証する色合いが強いのに対し、脆弱性診断は弱点の発見と是正に重点があります。

試験での見方

黒猫の闇の刻印

「事前に弱点を見つける」「設定不備や既知脆弱性を洗い出す」という条件があれば脆弱性診断です。インシデント後の原因調査とは目的が違います。

公開前のWebサイトに対して診断を行い、入力値チェック不足や古いミドルウェアを発見して修正します。

分類

テクノロジ系 / 技術要素 / セキュリティ

小分類:セキュリティ技術評価

関連トピック:セキュリティ評価基準

情報の根拠

IPA FEシラバス Ver.9.2 の用語例をもとに、試験対策向けに独自解説しています。

試験要綱 Ver.5.5 FEシラバス Ver.9.2

関連用語

セキュリティ保証要件 セキュリティ機能要件 保証レベル 耐タンパ性 評価方法

セキュリティの用語一覧へ

科目Aの問題演習に戻る 科目Bの問題演習に戻る 基本情報 用語集トップ 基本情報トップ