脆弱性
2024-02-24 (土) 09:15:17
脆弱性とは †
名称 †
- Vulnerability
- Security Hole
概要 †
- 情報の取り扱いにおいて、情報の漏洩・改竄などが発生する原因となる弱点や欠陥のこと。
- 脆弱性(ぜいじゃくせい)とは? -総務省
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/risk/11.html
情報セキュリティにおける脆弱性 †
- 脆弱性の種類
- 設備
- 技術
- 管理・制度
脆弱性を識別・評価する仕組み †
JVN †
- 国内で使われるソフトウェア製品等の脆弱性関連の情報と対策を提供するポータルサイト
CVE †
- 共通脆弱性識別子
- 脆弱性を識別するための識別子
CWE †
- 共通脆弱性タイプ一覧
- 脆弱性の種類を識別するための共有基準
CVSS †
- 共通脆弱性評価システム
- 脆弱性の深刻さを評価する仕組み
脆弱性の検査 †
- ブラックボックス検査
- ペネトレーションテスト
- セキュリティホール検査
- 侵入検査
- セキュリティスキャン
- プラットフォーム検査
- ファジング
- ホワイトボックス検査
脆弱性の対応 †
- ソフトウェア
- 開発元が提供するパッチを適用する
脆弱性に対する脅威 †
- エクスプロイトコード
- 脆弱性を悪用して攻撃するためのプログラムのこと
- ゼロデイ攻撃
- 開発元がパッチを提供する前に行われる、脆弱性を悪用した攻撃のこと
脆弱性の管理 †
- MyJVN (IPA/JPCERT/CC)
- 脆弱性対策情報を管理するJVN iPediaの情報を効率的に活用できるようにするソフトウェアのツール
https://jvndb.jvn.jp/apis/myjvn/
- 脆弱性対策情報を管理するJVN iPediaの情報を効率的に活用できるようにするソフトウェアのツール
脆弱性診断 †
脆弱性診断ツール †
- 「脆弱性診断ツール」参照
- 脆弱性スキャン
- GVM
- Greenbone Vulnerability Manager
- 旧名「OpenVAS」
http://openvas.org/
- GVM
- OSS-Fuzz - Google
https://github.com/google/oss-fuzz
- Tsunami - Google
https://github.com/google/tsunami-security-scanner
脆弱性診断サービス †
- 情報セキュリティサービス基準適合サービスリスト - IPA
https://www.ipa.go.jp/files/000067318.pdf
脆弱性診断演習用ウェブサイト †
- OWASP Mutillidae 2 -OWASP
https://www.owasp.org/index.php/OWASP_Mutillidae_2_Project
脆弱性診断演習向けのWebアプリのコレクション †
- OWASP BWA
- OWASP Broken Web Applications
https://www.owasp.org/index.php/OWASP_Broken_Web_Applications_Project
https://sourceforge.net/projects/owaspbwa/files/
- OWASP Broken Web Applications
- vulhub / vulhub - GitHub
- docker上に環境を構築することができる
https://github.com/vulhub/vulhub
- docker上に環境を構築することができる
脆弱性の通報 †
- huntr.dev
https://huntr.dev/
関連サイト †
- 脆弱性対策情報データベース JVN iPedia - IPA
https://jvndb.jvn.jp/
- am I infected? - 横浜国立大学とゼロゼロワン
https://amii.ynu.codes/