最終更新日:2026年5月6日
sg sg-security-measures threat_vulnerability it_security_operations
まず結論
- 脆弱性検査は「弱点を見つける」ための自動チェック
- ペネトレーションテストは「実際に攻撃できるか」を確認するテスト
- SG試験では「検出か攻撃か」で判断させる問題が多い
直感的な説明
システムの安全性を確認する方法は大きく2つあります。
- 機械的にチェックする
- 実際に攻撃してみる
👉 この違いがそのまま用語の違いです
イメージ
- 脆弱性検査:健康診断
- ペネトレーションテスト:実戦テスト
👉 チェックか実戦か
定義・仕組み
公式: JVN iPedia(脆弱性対策情報):公式: JVN iPedia(脆弱性対策情報)
脆弱性検査(Vulnerability Scan)
- ツールを使って自動的に脆弱性を検出する
- 既知の脆弱性を網羅的にチェック
特徴
- 自動で実施
- 定期的に行う
- 広く浅くチェック
👉 弱点の洗い出しが目的
ペネトレーションテスト(Penetration Test)
- 攻撃者の視点で侵入を試みる
- 実際に攻撃可能かを検証
特徴
- 人が実施
- シナリオベース
- 実践的
👉 攻撃の成立可否を確認する
どんな場面で使う?
✔ 使う場面
- 脆弱性検査
→ 定期的な安全チェック - ペネトレーションテスト
→ 重要システムの最終確認
✔ 誤解しやすい場面
- ❌ 脆弱性検査で侵入可否を判断する
- ❌ ペネトレーションテストで網羅的チェックを行う
👉 役割が違うため不適切
よくある誤解・混同
① 最重要ひっかけ
❌ 脆弱性検査で攻撃を行う
⭕ 脆弱性検査は「検出のみ」
❌ ペネトレーションテストは自動で実施する
⭕ 人が攻撃を試みる
② CVSSとの違い
- 脆弱性検査・ペンテスト:発見する
- CVSS:評価する
👉 SG試験ではここを混同させてくる
③ JVNとの違い
- JVN:情報を提供
- 検査・ペンテスト:実際に確認
👉 情報か実務かで判断
まとめ(試験直前用)
- 脆弱性検査=自動で弱点を見つける
- ペネトレーションテスト=攻撃して確認する
切り分けルール
- 「ツールで検出」→ 脆弱性検査
- 「攻撃して確認」→ ペネトレーションテスト
👉 検出か攻撃かで判断
最短判断フレーム
- 攻撃しているか? → ペネトレーションテスト
- 検出しているだけか? → 脆弱性検査
👉 これでほぼ全問切れる