sg sg-security-management threat_vulnerability
まず結論
- このシリーズは、脆弱性情報の把握→評価→対策→再評価の流れを、用語の役割ごとに整理するための導線です。
- SG試験では「情報源の用語(JVN/CVE)」「深刻度の用語(CVSS)」「検査手法(脆弱性診断/ペネトレーションテスト)」を切り分けられることが重要です。
- 丸暗記よりも、何のための用語か(識別・評価・検査・対応)で判断するのが得点しやすいです。
全体像
脆弱性管理は、1回の作業で終わるものではありません。実務でも試験でも、次の循環で考えると整理しやすくなります。
- 脆弱性を知る(情報収集)
- 影響を評価する(深刻度判断)
- 対策方針を決める(優先順位づけ)
- 修正・緩和を実施する(パッチ、設定変更、ワークアラウンド)
- 再確認して継続運用する(監視・再診断)
この流れのどの段階を問う問題なのかを先に見抜くと、選択肢をかなり絞れます。
主要用語の整理
| 用語 | 判断基準 |
|---|---|
| 脆弱性とは?攻撃される原因を理解する | 「弱点そのもの」の説明かを判断する用語。 |
| 脆弱性情報とは?収集・評価・対策の全体像を整理 | 脆弱性管理の全体プロセスを問う設問かを判断する。 |
| 脆弱性情報とは?JVN・CVE・CVSSの関係 | 識別子・情報共有・評価指標の関係整理が必要な設問かを判断する。 |
| JVNとは?脆弱性情報の見方とJVN iPediaとの違い | 日本国内の脆弱性情報共有の文脈かを判断する。 |
| CVSSとは?脆弱性の深刻度を共通スコアで判断する | 「どれから対応すべきか」の優先順位づけを問う設問かを判断する。 |
| 脆弱性検査とペネトレーションテストの違いとは?判断基準を整理 | 網羅的に弱点を見つける検査か、侵入可能性を実証する検査かを判断する。 |
| 脆弱性診断とペネトレーションテストの違いとは?目的で整理 | 手法の目的差(発見中心か侵入実証中心か)を問う問題かを判断する。 |
| 脆弱性対応の流れとは?受付からパッチ公開まで | 発見後の対応プロセス(連絡・調整・修正・公開)を問う設問かを判断する。 |
| 脆弱性対策まとめ|JVN・CVSS・検査・ペンテスト・ファジングの違い | 試験直前に複数用語を横断整理する必要がある場合に使う。 |
SG試験でのひっかけポイント
| 迷いやすい組合せ | 切り分けのポイント |
|---|---|
| JVN vs CVE | JVNは情報共有基盤、CVEは脆弱性識別子。役割が違う。 |
| CVSS vs CVE | CVEは「何の脆弱性か」を識別、CVSSは「どの程度深刻か」を評価。 |
| 脆弱性診断 vs ペネトレーションテスト | 診断は弱点発見の網羅性、ペンテストは攻撃シナリオで侵入可能性を実証。 |
| 脆弱性情報収集 vs インシデント対応 | 前者は予防的管理、後者は発生後対応。時点と目的で切り分ける。 |
| パッチ適用 vs ワークアラウンド | パッチは根本修正、ワークアラウンドは暫定対策。 |
おすすめの学習順序
- 脆弱性とは?攻撃される原因を理解する
- 脆弱性情報とは?収集・評価・対策の全体像を整理
- 脆弱性情報とは?JVN・CVE・CVSSの関係
- CVSSとは?脆弱性の深刻度を共通スコアで判断する
- 脆弱性検査とペネトレーションテストの違いとは?判断基準を整理
- 脆弱性診断とペネトレーションテストの違いとは?目的で整理
- 脆弱性対応の流れとは?受付からパッチ公開まで
- 脆弱性対策まとめ|JVN・CVSS・検査・ペンテスト・ファジングの違い
記事一覧
全体像・基礎
脆弱性情報と評価指標
検査・診断の使い分け
対応フロー・実践
まとめ(試験直前用)
- まず「識別(CVE)」「共有(JVN)」「評価(CVSS)」を分けて覚える。
- 次に「弱点発見(脆弱性診断)」と「侵入実証(ペネトレーションテスト)」を目的で切る。
- 設問は、予防の話か、発見後対応の話かを先に判断する。
- 対応策は、恒久対策(パッチ)か暫定対策(ワークアラウンド)かで見分ける。
- 用語暗記より、管理サイクルのどの工程かで選択肢を切る。
🔗 関連記事
- アクセス権限管理とは?付与・変更・削除の流れを整理【SG試験】
- 管理者権限とは?特権的アクセス権との違いを整理【SG試験】
- AESとは?鍵長とラウンド数も押さえる共通鍵暗号【SG試験】
- 情報資産台帳とは?リスク管理の出発点を整理【SG試験】
- 保証型監査と助言型監査の違い【SG試験】