ファジング

Fuzzing

ふぁじんぐ

プログラムの入力に大量の予期しないデータ（ファズ）を自動的に生成・投入し、異常動作やクラッシュを引き起こすことで未知の脆弱性を発見するテスト手法。バッファオーバーフローやフォーマットストリング脆弱性などの検出に有効。

情報システムの企画・設計・開発・運用でのセキュリティ確保の推進又は支援に関すること > セキュリティテスト

他の資格での定義

ソフトウェアに対して予測不能なランダムデータ（ファズ）を大量に入力し、異常動作やセキュリティ上の脆弱性を検出するテスト手法。バッファオーバーフローなどの未知の不具合発見に有効。

ソフトウェアに対して予期しない入力データ（ファズ）を大量に送り込み、異常動作やセキュリティ上の脆弱性を発見するテスト手法。自動化ツールを用いてランダムまたは半構造的なデータを生成し、クラッシュやメモリリークを検出する。

システムやアプリケーションに存在する既知の脆弱性を検出するテスト。ネットワーク脆弱性診断とWebアプリケーション脆弱性診断に大別され、ツール（スキャナー）による自動診断と、専門家による手動診断がある。定期的な実施が推奨される。

アプリケーションが使用するオープンソースライブラリやサードパーティコンポーネントの脆弱性やライセンス違反を検出する分析手法。SBOMと連携し、既知の脆弱性データベース（NVDなど）と照合して、使用しているコンポーネントのリスクを評価する。

セキュリティの設定確認や脆弱性評価を自動化するための標準仕様群。NISTが策定し、CVE、CVSS、CPE（共通プラットフォーム一覧）、CWEなどの個別規格を組み合わせて、セキュリティ対策の自動化と標準化を実現する。

攻撃者の視点でシステムに擬似的な攻撃を行い、セキュリティの弱点を検証するテスト。脆弱性診断で見つかった脆弱性が実際に悪用可能かどうかを確認し、攻撃による影響範囲を評価する。侵入テストとも呼ばれる。

ソフトウェア等の脆弱性情報を適切にハンドリングするための官民連携の枠組み。発見者がIPAに届出を行い、JPCERT/CCが開発者との調整を行った上で、JVNを通じて脆弱性情報を公開する。

ソフトウェアを構成するコンポーネント（ライブラリ、モジュールなど）の一覧とその依存関係を記録したリスト。サプライチェーンにおけるソフトウェアの脆弱性管理に活用され、脆弱性が発見された際の影響範囲の特定を迅速化する。