sg sg-security-management threat_vulnerability it_security_operations
まず結論
- 脆弱性対策は 「収集 → 評価 → 対策」 の3ステップ
- SG試験ではこの3つを混同させる問題が多い
- 👉 「どの役割か」で切るのが最重要
直感的な説明
脆弱性対応は流れで考えると簡単です👇
- 情報を集める
- 危険度を判断する
- 対策する
👉 これを担当する用語が違うだけです
定義・仕組み
全体マップ(最重要)
| ステップ | 用語 | 役割 |
|---|---|---|
| 収集 | JVN | 情報を集める |
| 評価 | CVSS | 危険度を決める |
| 対策① | 脆弱性検査 | 弱点を見つける |
| 対策② | ペネトレーションテスト | 攻撃して確認 |
| 対策③ | ファジング | 異常入力で検証 |
👉 この表を覚えればOK
どんな場面で使う?
正しい流れ
- JVNで情報を確認
- CVSSで優先度を判断
- 検査・テストで対策
よくある誤り(ここ重要)
- ❌ CVSSで対策する
- ❌ JVNが検査を行う
- ❌ ペンテストで評価する
👉 役割ズレ=不正解
よくある誤解・混同
① 最重要ひっかけ
👉 SG試験はここを狙う
- 「評価」なのに対策している
- 「情報」なのに実務している
② 用語の切り分け
- JVN → 情報
- CVSS → 評価
- 検査 → 検出
- ペンテスト → 攻撃
- ファジング → 入力
③ ペネトレーション vs ファジング
- ペンテスト:侵入できるか
- ファジング:壊れるか
④ 検査 vs ペンテスト
- 検査:自動
- ペンテスト:人
まとめ(試験直前用)
最短ルール
- 「情報を見る」→ JVN
- 「危険度を判断」→ CVSS
- 「弱点を見つける」→ 検査
- 「攻撃して確認」→ ペンテスト
- 「異常入力」→ ファジング
最終判断フレーム
- 情報か? → JVN
- 評価か? → CVSS
- 攻撃か? → ペンテスト
- 入力か? → ファジング
- 検出か? → 検査
👉 動詞で切る
最後に一言
👉 SGは「役割ズレを見抜く試験」
🔗 関連記事
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【情報セキュリティマネジメント】
- 情報資産台帳とは?リスク管理の出発点を整理【情報セキュリティマネジメント】
- 攻撃者の種類とは?目的と特徴で整理する【情報セキュリティマネジメント】
- 監査ログとは?不正検知と追跡の基本【SG試験】
- 認証・アクセス制御まとめ|SSO・MFA・ゼロトラストを体系整理【情報セキュリティマネジメント】