#author("2021-10-12T20:32:38+09:00","default:k1rou","k1rou")
*脆弱性 [#m9c78bd1]
-Vulnerability
-Security Hole
**脆弱性とは [#m22ba3d2]
-情報の取り扱いにおいて、情報の漏洩・改竄などが発生する原因となる弱点や欠陥のこと。
-脆弱性(ぜいじゃくせい)とは? -総務省~
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/risk/11.html
*** 情報セキュリティにおける脆弱性 [#da102e9d]
-脆弱性の種類
--設備
--技術
--管理・制度
***脆弱性を識別・評価する仕組み [#m4ae540e]
-[[JVN]]
--国内で使われるソフトウェア製品等の脆弱性関連の情報と対策を提供するポータルサイト
-[[CVE]]
--共通脆弱性識別子
--脆弱性を識別するための識別子
-[[CWE]]
--共通脆弱性タイプ一覧
--脆弱性の種類を識別するための共有基準
-[[CVSS]]
--共通脆弱性評価システム
--脆弱性の深刻さを評価する仕組み
**脆弱性の検査 [#q97597a5]
-ブラックボックス検査
--[[ペネトレーションテスト]]
--[[セキュリティホール]]検査
--侵入検査
--セキュリティスキャン
--プラットフォーム検査
--[[ファジング]]
-ホワイトボックス検査
**脆弱性の対応 [#l377836c]
-ソフトウェア
--開発元が提供するパッチを適用する
**脆弱性に対する脅威 [#naf12c69]
-[[エクスプロイト]]コード
--脆弱性を悪用して攻撃するためのプログラムのこと
-[[ゼロデイ攻撃]]
--開発元がパッチを提供する前に行われる、脆弱性を悪用した攻撃のこと
**脆弱性の管理 [#n68a990a]
-[[Qualys]]~
https://www.qualys.com/
-MyJVN ([[IPA]]/[[JPCERT/CC]])
--脆弱性対策情報を管理するJVN iPediaの情報を効率的に活用できるようにするソフトウェアのツール~
https://jvndb.jvn.jp/apis/myjvn/
**脆弱性診断 [#r3bbcfd2]
***脆弱性診断ツール [#s1639755]
-[[OWASP ZAP]]
-[[パケットキャプチャ]]
-プラットフォーム診断
--[[Nessus]]~
https://jp.tenable.com/products/nessus?tns_redirect=true
-脆弱性スキャン
--GVM
---Greenbone Vulnerability Manager
---旧名「[[OpenVAS]]」~
http://openvas.org/
-OSS-Fuzz - Google~
https://github.com/google/oss-fuzz
-Tsunami - Google~
https://github.com/google/tsunami-security-scanner
***脆弱性診断サービス [#d39c6df2]
-情報セキュリティサービス基準適合サービスリスト - [[IPA]]~
https://www.ipa.go.jp/files/000067318.pdf
***脆弱性診断演習用ウェブサイト [#kdbc259d]
-OWASP Mutillidae 2 -[[OWASP]]~
https://www.owasp.org/index.php/OWASP_Mutillidae_2_Project
***脆弱性診断演習向けのWebアプリのコレクション [#ca4eccb3]
-OWASP BWA
--OWASP Broken Web Applications~
https://www.owasp.org/index.php/OWASP_Broken_Web_Applications_Project ~
https://sourceforge.net/projects/owaspbwa/files/
**関連用語 [#db2e4ced]
-[[エクスプロイト]]
-[[セキュリティ]]
-[[セキュリティホール]]
-[[ペネトレーションテスト]]
-[[サイバー攻撃]]
-[[CVE]]
-[[CWE]]
-[[BOF攻撃]]
バックアップ