ペネトレーションテスト

実際の攻撃手法を用いてシステムの脆弱性を検証するテスト。攻撃者の視点から侵入を試み、セキュリティ対策の有効性を評価する。侵入テストとも呼ばれる。

対象システムに対して実際に攻撃を試み、セキュリティ上の脆弱性や侵入経路を検証するテスト。専門のテスターが攻撃者の視点で疑似攻撃を行い、防御策の有効性を評価する。

攻撃者の視点からシステムへの侵入を試みることで、セキュリティ上の脆弱性を検出するテスト手法。外部からの侵入テストと内部からの侵入テストがあり、実際の攻撃手法を模倣して実施する。

攻撃者の視点でシステムに対して実際に攻撃を試み、セキュリティ上の弱点を発見するテスト手法。ネットワーク、Webアプリケーション、IoT機器などを対象に、脆弱性の悪用可能性や侵入の影響範囲を検証する。脆弱性診断より実践的な評価が得られる。

システムやアプリケーションに存在する既知の脆弱性を検出するテスト。ネットワーク脆弱性診断とWebアプリケーション脆弱性診断に大別され、ツール（スキャナー）による自動診断と、専門家による手動診断がある。定期的な実施が推奨される。

プログラムの入力に大量の予期しないデータ（ファズ）を自動的に生成・投入し、異常動作やクラッシュを引き起こすことで未知の脆弱性を発見するテスト手法。バッファオーバーフローやフォーマットストリング脆弱性などの検出に有効。

アプリケーションが使用するオープンソースライブラリやサードパーティコンポーネントの脆弱性やライセンス違反を検出する分析手法。SBOMと連携し、既知の脆弱性データベース（NVDなど）と照合して、使用しているコンポーネントのリスクを評価する。

ソフトウェアやシステムに存在するセキュリティ上の欠陥や弱点。攻撃者に悪用されると、不正アクセスや情報漏えいなどのセキュリティインシデントにつながる。セキュリティパッチの適用やバージョンアップで修正する。

組織が把握・管理していない情報機器やクラウドサービスなどを、従業員が業務に利用すること。個人所有のスマートフォンや無許可のクラウドストレージの利用などが該当する。情報漏えいやセキュリティ事故のリスクを高める。

脆弱性の深刻度を0.0〜10.0の数値で評価するための共通基準。基本評価基準（脆弱性そのものの特性）、現状評価基準（時間の経過による変化）、環境評価基準（利用環境による影響）の3つの指標で構成される。