まず結論

• 脆弱性情報とは、システムの弱点とその対策に関する情報である。
• 対応は
  ①収集 → ②評価 → ③対策 の流れで行う。
• SG試験では、この3つを混同させてくる。

---

直感的な説明

セキュリティ対策は「敵を知ること」から始まります。

• どこが弱いのか？
• どれくらい危険なのか？
• どう対処すればいいのか？

これをまとめたものが「脆弱性情報」です。

👉 イメージ

• 情報を集める
• 危険度を判断する
• 対策する

👉 この3ステップがすべて

---

定義・仕組み

脆弱性情報とは、

• ソフトウェアやシステムの弱点
• その影響
• 対策方法

などをまとめた情報です。

---

全体の流れ（最重要）

1. 脆弱性情報を収集する
2. 危険度を評価する
3. 対策を実施する

👉 この流れで覚えると迷わない

---

① 収集（情報源）

脆弱性情報は、主に次のような場所から取得します。

• JVN（脆弱性情報ポータル）
• JVN iPedia（データベース）
• ベンダ情報（メーカー公開）

👉 関連記事

• /sg/jvn/

---

② 評価（危険度の判断）

脆弱性の深刻度は、数値で評価されます。

• CVSS（共通脆弱性評価システム）

👉 ポイント

• スコアが高いほど危険
• ただし環境によって影響は変わる

👉 関連記事

• /sg/cvss/

---

③ 対策（発見と対応）

脆弱性は、次の方法で発見・対応します。

• 脆弱性検査（自動チェック）
• ペネトレーションテスト（擬似攻撃）
• ファジング（異常データで検証）

👉 関連記事

• /sg/vulnerability-scan/
• /sg/penetration-test/
• /sg/fuzzing/

---

どんな場面で使う？

正しい流れ

• JVNで情報を確認
• CVSSで危険度を判断
• 検査やテストで対策

---

よくある誤り

• ❌ CVSSで対策する
• ❌ JVNが検査を行う
• ❌ ペネトレーションテストで評価する

👉 役割ズレ＝不正解

---

よくある誤解・混同

① JVNとIPAの混同

• JVN：情報提供サイト
• IPA：運営・支援

---

② CVSSの誤解

• ❌ 絶対的な危険度
• ⭕ 判断のための指標

---

③ 検査とペネトレーションの違い

• 検査：機械的チェック
• ペンテスト：攻撃者視点

---

④ ファジングの位置

• 入力データで異常を検出

---

まとめ（試験直前用）

最短ルール

• 「情報を集める」→ JVN
• 「危険度を判断」→ CVSS
• 「弱点を見つける」→ 検査・テスト

---

判断フレーム

1. 情報源か？ → JVN
2. 評価か？ → CVSS
3. 対策か？ → 検査・テスト

👉 この3つで切る

🔗 関連記事

• 情報資産台帳とは？リスク管理の出発点を整理【情報セキュリティマネジメント】
• 監査ログとは？不正検知と追跡の基本【SG試験】
• SG試験 ケース問題の解き方テンプレ【情報セキュリティマネジメント】
• ケース問題の解き方！CIAとリスク対応で考える実践手順【SG試験】
• よくある誤答パターンまとめ！SG試験で選択肢を切るコツ【情報セキュリティマネジメント】

---

🏠 情報セキュリティマネジメントトップに戻る

← 脆弱性対策まとめ｜JVN・CVSS・検査・ペンテスト・ファジングの違い【情報セキュリティマネジメント】 JVNとは？脆弱性情報の見方とJVN iPediaとの違い【情報セキュリティマネジメント】 →