ペネトレーションテスト

実際の攻撃手法を用いてシステムの脆弱性を検証するテスト。攻撃者の視点から侵入を試み、セキュリティ対策の有効性を評価する。侵入テストとも呼ばれる。

攻撃者の視点でシステムに擬似的な攻撃を行い、セキュリティの弱点を検証するテスト。脆弱性診断で見つかった脆弱性が実際に悪用可能かどうかを確認し、攻撃による影響範囲を評価する。侵入テストとも呼ばれる。

攻撃者の視点からシステムへの侵入を試みることで、セキュリティ上の脆弱性を検出するテスト手法。外部からの侵入テストと内部からの侵入テストがあり、実際の攻撃手法を模倣して実施する。

攻撃者の視点でシステムに対して実際に攻撃を試み、セキュリティ上の弱点を発見するテスト手法。ネットワーク、Webアプリケーション、IoT機器などを対象に、脆弱性の悪用可能性や侵入の影響範囲を検証する。脆弱性診断より実践的な評価が得られる。

情報システムの脆弱性の深刻度を0.0〜10.0の数値で評価する共通の基準。基本評価基準、現状評価基準、環境評価基準の3つの指標で構成され、脆弱性対応の優先順位付けに利用される。

IT製品やシステムのセキュリティ機能を評価するための国際標準規格（ISO/IEC 15408）。評価保証レベル（EAL1〜EAL7）でセキュリティ機能の信頼度を段階的に評価する。セキュリティターゲット（ST）とプロテクションプロファイル（PP）で評価基準を定義する。

政府が求めるセキュリティ要求を満たしているクラウドサービスをあらかじめ評価・登録することによって、政府のクラウドサービス調達におけるセキュリティ水準の確保を図る制度。ISMAP-LIUはリスクの小さいSaaSサービスを対象とした制度。

IT製品やシステムのセキュリティ機能を評価するための国際標準規格（ISO/IEC 15408）。EAL（Evaluation Assurance Level）1〜7の保証レベルで評価し、ST（セキュリティターゲット）やPP（プロテクションプロファイル）を用いてセキュリティ要件を定義する。

米国NISTが策定した暗号モジュールのセキュリティ要求事項に関する規格。暗号アルゴリズムの実装、鍵管理、物理的セキュリティなどを規定し、レベル1〜4の4段階でセキュリティ強度を評価する。IT製品の暗号機能の信頼性を保証するために使用される。

脆弱性の深刻度を0.0〜10.0のスコアで定量的に評価するための国際的な基準。基本評価基準（脆弱性の技術的特性）、現状評価基準（攻撃コードの有無等）、環境評価基準（組織固有の影響）の3つの評価基準から構成される。