Category 11 / 20

VULNERABILITY MANAGEMENT

脆弱性管理

脆弱性の発見・評価・修正の管理手法を体系的に解説します。
CVE・CVSSによる脆弱性の識別と評価、ペネトレーションテスト、
脆弱性スキャナー、SBOM、責任ある開示プロセスまで、
組織の脆弱性管理を強化するための知識を学べます。

15 Terms
01 🆔
CVECommon Vulnerabilities and Exposures
脆弱性に一意の識別番号を付与する国際的な命名体系
 02 📏
CVSSCommon Vulnerability Scoring System
脆弱性の深刻度を0.0〜10.0のスコアで定量評価する業界標準の指標
 03 🔓
ペネトレーションテストPenetration Testing
攻撃者の視点でシステムの脆弱性を実際に悪用し安全性を検証するテスト手法
 04 🔍
脆弱性スキャナーVulnerability Scanner
ネットワーク・アプリケーション・OSの既知の脆弱性を自動検出するツール
 05 📦
SBOMSoftware Bill of Materials
ソフトウェアの構成部品を一覧化し依存関係の脆弱性を追跡する部品表
 06 🤝
責任ある開示Responsible Disclosure / CVD
発見した脆弱性をベンダーに報告し修正後に公開する倫理的な開示プロセス
 07 🔄
脆弱性ライフサイクルVulnerability Lifecycle Management
発見から修正・検証までの脆弱性管理の全工程を体系化したプロセス
 08 🧪
SAST / DASTStatic & Dynamic Application Security Testing
ソースコードの静的解析と実行時の動的解析でアプリの脆弱性を発見する手法
 09 🔴
レッドチーム演習Red Team / Blue Team Exercise
攻撃側と防御側に分かれ実戦的にセキュリティ体制を評価する演習手法
 10 🗺️
攻撃対象面管理Attack Surface Management / ASM
外部公開資産を継続的に発見・評価し攻撃対象面を縮小する管理手法
 11 💣
エクスプロイト・PoCExploit & Proof of Concept
脆弱性を実証・悪用するコードとその公開・管理に関する概念
 12 🩹
仮想パッチVirtual Patching
正式パッチ適用前にWAF・IPSで脆弱性を暫定的に防御する緩和策
 13 📚
CWECommon Weakness Enumeration
ソフトウェアの弱点・欠陥パターンを分類した共通脆弱性タイプ一覧
 14 📐
脅威モデリングThreat Modeling
STRIDE・PASTA等の手法で設計段階からセキュリティ脅威を体系的に特定する手法
 15 📮
VDPVulnerability Disclosure Program
外部からの脆弱性報告を受け付ける公式チャネルと運用ポリシー