脆弱性診断

システムやネットワークに存在する脆弱性を自動ツールや手動で検査し、発見する診断活動。定期的に実施し、発見した脆弱性に対する対策を講じる。

システムやネットワークに存在する脆弱性を検出するための診断。自動スキャンツールや手動検査により、セキュリティホールや設定不備を洗い出す。定期的に実施することで、セキュリティレベルの維持・向上を図る。

情報システムやネットワークに存在する脆弱性を体系的に検出・評価する活動。脆弱性スキャナによる自動検査やペネトレーションテストなどの手法を用いて、セキュリティ上の弱点を特定する。

プログラムの入力に大量の予期しないデータ（ファズ）を自動的に生成・投入し、異常動作やクラッシュを引き起こすことで未知の脆弱性を発見するテスト手法。バッファオーバーフローやフォーマットストリング脆弱性などの検出に有効。

アプリケーションが使用するオープンソースライブラリやサードパーティコンポーネントの脆弱性やライセンス違反を検出する分析手法。SBOMと連携し、既知の脆弱性データベース（NVDなど）と照合して、使用しているコンポーネントのリスクを評価する。

攻撃者の視点でシステムに擬似的な攻撃を行い、セキュリティの弱点を検証するテスト。脆弱性診断で見つかった脆弱性が実際に悪用可能かどうかを確認し、攻撃による影響範囲を評価する。侵入テストとも呼ばれる。

ソフトウェア等の脆弱性情報を適切にハンドリングするための官民連携の枠組み。発見者がIPAに届出を行い、JPCERT/CCが開発者との調整を行った上で、JVNを通じて脆弱性情報を公開する。

ソフトウェアを構成するコンポーネント（ライブラリ、モジュールなど）の一覧とその依存関係を記録したリスト。サプライチェーンにおけるソフトウェアの脆弱性管理に活用され、脆弱性が発見された際の影響範囲の特定を迅速化する。

ソフトウェアやOS等の脆弱性を修正するパッチの適用を管理するプロセス。パッチの情報収集、影響評価、テスト、適用、検証を計画的に行い、製品・サービスのセキュアな導入・運用を維持する。