セキュリティホール

ソフトウェアやシステムに存在するセキュリティ上の欠陥や弱点。攻撃者に悪用されると、不正アクセスや情報漏えいなどのセキュリティインシデントにつながる。セキュリティパッチの適用やバージョンアップで修正する。

情報システムにおけるセキュリティ上の弱点や欠陥の総称。ソフトウェアのバグ、設定の不備、設計上の問題など、脅威によって悪用される可能性のある箇所を指す。

組織が把握・管理していない情報機器やクラウドサービスなどを、従業員が業務に利用すること。個人所有のスマートフォンや無許可のクラウドストレージの利用などが該当する。情報漏えいやセキュリティ事故のリスクを高める。

脆弱性の深刻度を0.0〜10.0の数値で評価するための共通基準。基本評価基準（脆弱性そのものの特性）、現状評価基準（時間の経過による変化）、環境評価基準（利用環境による影響）の3つの指標で構成される。

システムやネットワークに存在する脆弱性を検出するための診断。自動スキャンツールや手動検査により、セキュリティホールや設定不備を洗い出す。定期的に実施することで、セキュリティレベルの維持・向上を図る。

攻撃者の視点でシステムに擬似的な攻撃を行い、セキュリティの弱点を検証するテスト。脆弱性診断で見つかった脆弱性が実際に悪用可能かどうかを確認し、攻撃による影響範囲を評価する。侵入テストとも呼ばれる。

ソフトウェアを構成するコンポーネント（ライブラリ、モジュールなど）の一覧情報。ソフトウェアサプライチェーンの透明性を確保し、使用しているコンポーネントの脆弱性を迅速に把握するために活用される。