脆弱性評価

システムやネットワークに存在する脆弱性を自動ツールや手動で検査し、発見する診断活動。定期的に実施し、発見した脆弱性に対する対策を講じる。

システムやネットワークに存在する脆弱性を検出するための診断。自動スキャンツールや手動検査により、セキュリティホールや設定不備を洗い出す。定期的に実施することで、セキュリティレベルの維持・向上を図る。

システムやアプリケーションに存在する既知の脆弱性を検出するテスト。ネットワーク脆弱性診断とWebアプリケーション脆弱性診断に大別され、ツール（スキャナー）による自動診断と、専門家による手動診断がある。定期的な実施が推奨される。

脆弱性の深刻度を0.0〜10.0のスコアで定量的に評価するための国際的な基準。基本評価基準（脆弱性の技術的特性）、現状評価基準（攻撃コードの有無等）、環境評価基準（組織固有の影響）の3つの評価基準から構成される。

監査対象のリスクを特定・分析・評価するプロセス。リスクの発生可能性と影響度を基に、監査の優先順位や監査資源の配分を決定するための基礎情報を提供する。

リスク分析の結果をリスク基準と比較し、対応が必要なリスクの優先順位を決定するプロセス。リスクの受容水準を超えるリスクについて、対応策の検討・実施を行う。

監査活動が組織の目標達成やリスク管理の改善にどの程度貢献しているかを評価すること。改善勧告の実施率、指摘事項の再発率、利害関係者の満足度などの指標を用いて評価する。

バランススコアカードのこと。財務、顧客、業務プロセス、学習と成長の4つの視点から経営目標と業績指標を設定し、戦略の実行状況をバランスよく評価するフレームワーク。

システムの導入や投資に要する費用と、それにより得られる効果を比較・分析する手法。投資判断や優先順位の決定に用いられ、定量的・定性的な両面から評価を行う。