最終更新日:2026年5月14日
sg sg-security-management sg-security-measures threat_vulnerability it_security_operations
まず結論
- 脆弱性対策は 「収集 → 評価 → 対策」 の3ステップ
- SG試験ではこの3つを混同させる問題が多い
- 👉 「どの役割か」で切るのが最重要
直感的な説明
脆弱性対応は流れで考えると簡単です👇
- 情報を集める
- 危険度を判断する
- 対策する
👉 これを担当する用語が違うだけです
定義・仕組み
公式: JVN iPedia(脆弱性対策情報):公式: JVN iPedia(脆弱性対策情報)
全体マップ(最重要)
| ステップ | 用語 | 役割 |
|---|---|---|
| 収集 | JVN | 情報を集める |
| 評価 | CVSS | 危険度を決める |
| 対策① | 脆弱性検査 | 弱点を見つける |
| 対策② | ペネトレーションテスト | 攻撃して確認 |
| 対策③ | ファジング | 異常入力で検証 |
👉 この表を覚えればOK
関連記事で確認する
| ステップ | 代表記事 | 判断基準 |
|---|---|---|
| 情報収集 | JVNとは?脆弱性情報の見方とJVN iPediaとの違い | 公開された脆弱性情報を見る |
| 評価 | CVSSとは?脆弱性の深刻度を共通スコアで判断する | 深刻度・優先度を点数で判断する |
| 検出 | 脆弱性検査とペネトレーションテストの違いとは?判断基準を整理 | 弱点がないか確認する |
| 侵入確認 | 脆弱性診断とペネトレーションテストの違いとは?目的で整理 | 実際に侵入できるか試す |
| 異常入力 | ファジングとは?未知の脆弱性を見つける検査手法 | 想定外入力で落ちないか見る |
| ネットワーク確認 | ポートスキャンとは?管理目的と攻撃目的の違い | 開いているポートを確認する |
| 運用対策 | パッチ管理とは?修正プログラムを適用する運用 | 修正プログラムを計画的に適用する |
| テスト全体 | セキュリティテストの種類まとめ | SAST・DAST・診断などを整理する |
| 開発時対策 | セキュアコーディングとは?脆弱性を作り込まない考え方 | 実装段階で弱点を減らす |
| 静的検査 | SASTとは?ソースコードを実行せずに検査する仕組み | 実行前にコードを調べる |
| 動的検査 | DASTとは?実行中のアプリを検査する仕組み | 実行中のアプリを外側から調べる |
どんな場面で使う?
正しい流れ
- JVNで情報を確認
- CVSSで優先度を判断
- 検査・テストで対策
よくある誤り(ここ重要)
- ❌ CVSSで対策する
- ❌ JVNが検査を行う
- ❌ ペンテストで評価する
👉 役割ズレ=不正解
よくある誤解・混同
① 最重要ひっかけ
👉 SG試験はここを狙う
- 「評価」なのに対策している
- 「情報」なのに実務している
② 用語の切り分け
- JVN → 情報
- CVSS → 評価
- 検査 → 検出
- ペンテスト → 攻撃
- ファジング → 入力
②-2 似た略語の一問一答(CWE/CVE/CVSS/CPE/CCE)
| 問われ方 | 答える用語 |
|---|---|
| 脆弱性の種類を体系化した一覧 | CWE |
| 脆弱性を一意に識別する番号 | CVE |
| 脆弱性の深刻度を評価する指標 | CVSS |
| 製品・OSなどプラットフォーム名の識別 | CPE |
| セキュリティ設定項目の識別子 | CCE |
👉 SG試験では、「種類」「識別」「評価」の動詞で切ると誤答を減らせます。
③ ペネトレーション vs ファジング
- ペンテスト:侵入できるか
- ファジング:壊れるか
④ 検査 vs ペンテスト
- 検査:自動
- ペンテスト:人
まとめ(試験直前用)
最短ルール
- 「情報を見る」→ JVN
- 「危険度を判断」→ CVSS
- 「弱点を見つける」→ 検査
- 「攻撃して確認」→ ペンテスト
- 「異常入力」→ ファジング
最終判断フレーム
- 情報か? → JVN
- 評価か? → CVSS
- 攻撃か? → ペンテスト
- 入力か? → ファジング
- 検出か? → 検査
👉 動詞で切る
最後に一言
👉 SGは「役割ズレを見抜く試験」