脆弱性診断とその関連
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/06/26 00:59 UTC 版)
「サイバーセキュリティ」の記事における「脆弱性診断とその関連」の解説
本節では、システムのセキュリティ上の問題点を洗い出す検査や診断について述べる。なお、こうした検査や診断は脆弱性検査、脆弱性診断、セキュリティ検査、セキュリティ診断等と呼ばれるが、これらの語の指す範囲は論者やセキュリティ企業により異なる場合があるので注意されたい。 このような用語上の混乱をさけるため、本節ではペネトレーションテスト等も含めた最広義の意味での脆弱性検査(すなわちIPA意味での脆弱性検査)の事を「脆弱性診断関連の検査」と呼ぶことにする。 IPAによると、脆弱性診断関連の検査にはソースコードセキュリティ検査、ファジング、システムセキュリティ検査、ウェブアプリケーションセキュリティ検査、ペネトレーションテストの5つがあり、これらの検査を行うフェーズと主な検査対象は下記のとおりである。なお本節では、これら5つにレッドチームを加えた6つの検査について述べる。 検査名主な利用フェーズ主な検査対象開発運用PC向けソフト組み込みソフトウェブアプリケーションその他ソースコードセキュリティ検査 ○ ー ○ ○ ○ ファジング ○ ー ○ ○ ー システムセキュリティ検査 ○ ○ ー ○ ー ネットワークシステム ウェブアプリケーションセキュリティ検査 ○ ○ ー ー ○ クライアントサーバ ペネトレーションテスト ー ○ ー ○ ー サーバ 上の表の「主な利用フェーズ」は検査対象となる機器のシステムライフサイクルの中でどのフェーズでこれらの検査が利用されるのかを示している。なお、一般的にシステムの開発フェーズは企画、要件定義、設計、実装、テスト、納入という工程からなるが、これらの工程のうち脆弱性診断関連の検査が行われるのは実装工程とテスト工程である。 脆弱性診断関連の検査はPCI DSSやコモンクライテリアのような基準や規格で定期的に実施する事が要求される場合がある。
※この「脆弱性診断とその関連」の解説は、「サイバーセキュリティ」の解説の一部です。
「脆弱性診断とその関連」を含む「サイバーセキュリティ」の記事については、「サイバーセキュリティ」の概要を参照ください。
- 脆弱性診断とその関連のページへのリンク
