脆弱性評価（Vulnerability Assessment）

脆弱性評価とは、ひとことで言えば、組織のシステム・ネットワーク・アプリケーションに存在する脆弱性を体系的にスキャン・特定・分類し、リスクの優先順位を付けるプロセスです。たとえば、NessusやQualysなどの脆弱性スキャナを使って全サーバを定期的にスキャンし、CVSSスコアに基づいて優先度を分類します。ペネトレーションテストが「狭く深い」テストであるのに対し、脆弱性評価は「広く浅い」スキャンです。検出→優先順位付け→修正→再スキャンのサイクルを回し続けることが重要です。