ソフトウェアやシステムに存在する脆弱性を評価し、リスクの度合いを数値で示すための基準である。この基準により、脆弱性の深刻度を一貫して評価し、比較することが可能となる。0から10までのスコアを用いて、脆弱性の影響や悪用の難易度を示す。たとえば、高いスコアが付与された脆弱性は、迅速な対処が必要であることを示す。これにより、組織は限られたリソースの中で、最も重要な脆弱性の修正や対策を優先することができる。セキュリティチームが評価や報告を行う際に利用され、情報の共有や意思決定を助ける役割も果たしている。

情報システムやネットワークに存在するセキュリティ上の脆弱性を特定し、評価するプロセスである。この診断により、悪意のある攻撃者が利用する可能性のある弱点を洗い出し、適切な対策を講じるための基礎情報を提供する。具体的には、システムの設定ミスや未修正のソフトウェア、パスワードの強度不足などが対象となる。脆弱性診断は定期的に実施することが推奨されており、これにより企業や組織はセキュリティリスクを低減させ、生産性の向上を図ることができる。また、診断結果に基づいて、適切な修正や対策を行うことで、情報資産の保護と信頼性の向上が期待される。

システムやネットワークのセキュリティを評価するための手法である。このテストでは、実際の攻撃者の視点から侵入を試みることで、脆弱性や弱点を発見し、それに対する対策を検討する。例えば、企業のWebサイトに対するペネトレーションテストでは、ハッカーが不正にアクセスできるかどうかを確認し、もし問題があればその修正方法を提案する。これにより、情報漏洩やサービス停止といったリスクを低減することが可能である。定期的に実施することが望まれ、サイバー攻撃に対する防御力を高める重要な手段となっている。