sg sg-security-management risk_assessment it_security_operations
まず結論
- 脆弱性対策は「収集 → 評価 → 対策」で判断する
- SG試験では役割の取り違え(役割ズレ)を狙ってくる
- 👉 「何をしているか(動詞)」で切るのが最重要
直感的な説明
ケース問題では、
「何をしているのか」が長い文章で書かれます。
でもやることはシンプルです👇
- 情報を見ている?
- 危険度を決めている?
- 実際に調べている?
👉 これだけでほぼ解けます
定義・仕組み(判断フレーム)
| 種類 | 役割 | 判断キーワード |
|---|---|---|
| JVN | 情報収集 | 公開情報・注意喚起 |
| CVSS | 評価 | スコア・深刻度 |
| 脆弱性検査 | 検出 | ツール・自動 |
| ペネトレーションテスト | 攻撃 | 侵入・攻撃 |
| ファジング | 入力 | 異常データ |
👉 この表で切る
どんな場面で使う?
正しい判断の流れ
- 情報を確認(JVN)
- 危険度判断(CVSS)
- 実際の確認(検査・テスト)
誤りやすい流れ
- 評価なのに対策している
- 情報なのに実務している
👉 役割ズレ=不正解
よくある誤解・混同(ケース問題)
👉 理解できたかチェックしてみましょう
実戦演習(ケース問題)
問題①(基本)
ある企業は、公開されている脆弱性情報を確認し、
自社システムに影響があるかを調査している。
このとき利用するものとして最も適切なものはどれか。
A. CVSS
B. JVN
C. 脆弱性検査
D. ペネトレーションテスト
▶ 解答と解説を見る
### 解答 **B** ### 解説 👉 ポイントは「公開されている脆弱性情報」 - JVN:情報収集 → ⭕ - CVSS:評価 → ❌ - 検査:検出 → ❌ - ペンテスト:攻撃 → ❌ 👉 **情報を見る=JVN**問題②(評価のひっかけ)
脆弱性に対して優先順位をつけるため、
深刻度を数値で比較している。
最も適切なものはどれか。
A. JVN
B. CVSS
C. ペネトレーションテスト
D. ファジング
▶ 解答と解説を見る
### 解答 **B** ### 解説 👉 「数値」「深刻度」 - CVSS:評価 → ⭕ - JVN:情報 → ❌ - ペンテスト:攻撃 → ❌ - ファジング:入力 → ❌ 👉 **評価=CVSS**問題③(検査 vs ペンテスト)
企業は、ツールを用いてシステムの脆弱性を定期的にチェックしている。
この手法はどれか。
A. ペネトレーションテスト
B. ファジング
C. 脆弱性検査
D. CVSS
▶ 解答と解説を見る
### 解答 **C** ### 解説 👉 「ツール」「定期的」 - 検査:自動チェック → ⭕ - ペンテスト:攻撃 → ❌ - ファジング:入力 → ❌ 👉 **自動=脆弱性検査**問題④(実戦レベル)
ある企業は、攻撃者の視点でシステムに侵入できるかを検証している。
この手法はどれか。
A. 脆弱性検査
B. CVSS
C. ペネトレーションテスト
D. JVN
▶ 解答と解説を見る
### 解答 **C** ### 解説 👉 「攻撃者の視点」「侵入」 - ペンテスト:攻撃 → ⭕ - 検査:チェック → ❌ - CVSS:評価 → ❌ 👉 **攻撃=ペネトレーションテスト**問題⑤(ファジング)
ソフトウェアに対して異常な入力データを大量に与え、
異常動作を確認している。
この手法はどれか。
A. 脆弱性検査
B. ペネトレーションテスト
C. ファジング
D. CVSS
▶ 解答と解説を見る
### 解答 **C** ### 解説 👉 「異常入力」 - ファジング:入力テスト → ⭕ - ペンテスト:攻撃 → ❌ 👉 **入力=ファジング**まとめ(試験直前用)
最短ルール
- 「情報を見る」→ JVN
- 「評価する」→ CVSS
- 「自動検出」→ 検査
- 「攻撃する」→ ペンテスト
- 「異常入力」→ ファジング
最終判断フレーム
👉 動詞で判断
- 見る? → JVN
- 判断? → CVSS
- 検出? → 検査
- 攻撃? → ペンテスト
- 入力? → ファジング
👉 これで全部切れる
🔗 関連記事
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【情報セキュリティマネジメント】
- 情報資産台帳とは?リスク管理の出発点を整理【情報セキュリティマネジメント】
- 監査ログとは?不正検知と追跡の基本【SG試験】
- 認証・アクセス制御まとめ|SSO・MFA・ゼロトラストを体系整理【情報セキュリティマネジメント】
- 認証方式とは?3要素と多要素認証を整理【SG試験】