岡⽥良太郎
riotaro@rsrch.jp
@okdt
Asterisk Research, Inc.
今から取り組む企業のための脆弱性対応
〜⼤丈夫、みんなよく分かっていないから〜
SNS投稿は終了後に

本⽇の講演概要
昨年、情報システム・セキュリティ関連で最も聞かれた⾔葉に「脆弱性（ぜいじゃくせい）」が
あります。
オープンソースのバージョンがどうだとか、サイバー攻撃の対象になるだとか、ベンダーのパッ
チをあてろだとか、ものものしい⽂脈で語られるこの⾔葉。
案外、対策・対応とセットでクリアに整理し、理解することに追いついていないのではないで
しょうか。⼀⼝に対応すると⾔っても、いつもいつも「ベンダーパッチのアップデート」だけな
のでしょうか。
本講演は、⽶国⼤統領令で⽰された「SBOM」など、この「脆弱性」対応にまつわる情勢に注意
を向けつつ、実際の取り組みに役⽴つ視点と実践に移すことのできるプラクティスを紹介します。

はじめまして
岡田 良太郎で
ございます。
2006年、アプリケーションセキュリティ・ガバナンスに関わるリサーチと企業のセキュリ
ティ強化のアドバイザリなどを行う(株)アスタリスク・リサーチを創業。企業のセキュリ
ティ実践を手掛ける。
大学、企業、政府の研究機関、産官学連携したコミュニティにより、プロフェッショナル人
材の育成に携わっている。2021年1月に出版された「CISOハンドブック」の執筆者の中に
名を連ねる。
株式会社アスタリスク・リサーチ エグゼクティブ アドバイザ
岡田良太郎 へのおたよりはこちらまで：riotaro@rsrch.jp

アスタリスク・リサーチ 企業におけるセキュリティ実践支援企業
asteriskresearch.com
(c) Riotaro OKADA / Asterisk Research, Inc. 4
Professional Tools
実践段階のQCDを⾼める道具
・トレーニング
・Eラーニング
・開発環境向けツール(CI/CD)
・トレーニングイベントデザイン
・リスクプロファイルトレーニング
・脅威分析トレーニング
Advisory Service
経営陣の⾼速な意思決定を実現するアドバイザリ
・PSIRT/CSIRT Advisory
・DevOps Transformation
・セキュリティ・スコアカード分析
・エグゼクティブ向けブリーフィング
・CISO, CTO, CROハンズオン
Security Test Managed Service
セキュリティ脆弱性発⾒から改善に効くサービス ・設計の脅威対応分析 Threat Analysis
・コンポーネント分析 SCA
・ソースコード分析 SAST
・システム脆弱性テスト DAST
・プラットフォームテスト NST

2022/12

2022/12

いまさら聞けないセキュリティ
「脆弱性ってなに？」

ITシステムのVulnerability？
• 「行政機関のVPN装置に脆弱性が放置されていたので侵入された」
• 「同社ウェブサイトの脆弱性が突かれて情報漏洩があった」
• 「米国CISAによるとlog4j2 の脆弱性が最も攻撃に悪用された」
• 「そのアプリは脆弱性があるので直ちにアップデートしてください」

CISA’s Top 15 Routinely Exploited Vulnerabilities of 2021
(c)
Riotaro
OKADA
11
CVE 脆弱性名 ベンダーと製品 タイプ CVSS 3.0/2.0
CVE-2021-44228 Log4Shell Apache Log4j リモートコード実⾏（RCE） 10/9.3
CVE-2021-40539 Zoho ManageEngine AD SelfService Plus RCE 9.8/7.3
CVE-2021-34523 ProxyShell Microsoft Exchange Server 特権の昇格 9.8/7.5
CVE-2021-34473 ProxyShell Microsoft Exchange Server RCE 9.8/10.0
CVE-2021-31207 ProxyShell Microsoft Exchange Server セキュリティ機能のバイパス 7.2/6.5
CVE-2021-27065 ProxyLogon Microsoft Exchange Server RCE 7.8/6.8
CVE-2021-26858 ProxyLogon Microsoft Exchange Server RCE 7.8/6.8
CVE-2021-26857 ProxyLogon Microsoft Exchange Server RCE 7.8/6.8
CVE-2021-26855 ProxyLogon Microsoft Exchange Server RCE 9.8/7.5
CVE-2021-26084 AtlassianConfluence 任意のコードの実⾏ 9.8/7.5
CVE-2021-21972 VMwarevSphere RCE 10.0/9.3
CVE-2020-1472 ZeroLogon Microsoft Netlogon（MS-NRPC） 特権の昇格 9.8/10.0
CVE-2020-0688 Microsoft Exchange Server RCE 8.8/9.0
CVE-2019-11510 Pulse Secure 任意のファイルの読み取り 10.0/7.5
CVE-2018-13379 FortiOSおよびFortiProxy パストラバーサル 9.8/5.0

「脆弱性」ってなに？
• ぜいじゃくせい 【脆弱性】傷つけられやすいこと。
→バルネラビリティー
• バルネラビリティー vulnerability ① 傷つけられやす
いこと。脆弱（ぜいじやく）性。② コンピューター社
会のもつ脆弱性。③ 心理学で，攻撃を受けやすいこと。
攻撃誘発性。

vulnerability
• 脆弱性 /ˌvʌ(ə)rəˈbɪɪ/ ♪（弱い部分
• 名詞（複数形vulnerabilities）物理的または感
情的に攻撃されたり傷つけられたりする可能性に
さらされている質または状態：
• 例文：保護当局は地域住民の脆弱性に気付いた｜彼は
感染に対する脆弱性のために隔離されている｜詐欺師
は私たちの脆弱性を見抜くのが得意である。

© Asterisk Research, Inc. 14

15

“クラウド” “Serverless”
プラットフォーム

アプリケーション
プレゼンテーション
セッション
トランスポート
ネットワーク
データリンク
物理層

アプリケーション
バックエンド
Web service
仮想/クラウド
Platform

ソフトウェア
ソフトウェア
ソフトウェア
ソフトウェア
ソフトウェア
ソフトウェア
ソフトウェア

脆弱性の対応マップ
脆弱性発⽣箇所 どんな状態か 対応⼿段の提供者 すぐ対応 シフトレフト
デスクトップやスマートフォン
デバイスのOSに問題があり、保護が⼿
薄、あるいは脆弱な状態になっている
プラットフォーマ
(Apple, Googleなど)
アップデート適⽤、
設定調整
⾃動アップデート活⽤、
更新情報プロセス強化
アプリケーションソフトウェア バグや、踏み台などの脆弱性 開発会社、販売会社
アップデート適⽤、設定
調整、
アップデートあるいは
アンインストール
ネットワーク機器、デバイス
装置のファームウェアが古いあるいは
悪⽤されやすい設定になっているため
脆弱な状態
メーカー アップデート適⽤
ネットワーク機器や
構成の⾒直し
システム：オープンソースや
サードパーティAPIなど
システムで利⽤しているOSで使われて
いるOSSのソースコードに問題が発⾒
され脆弱性があるということが広く知
られる
システム：プログラムコード
⾃社あるいはSIerが開発したコードに問
題があり、脆弱になっている
システム：クラウドサービス、
アプリケーションの設定
コンフィギュレーションの問題で、
データが侵害されやすい状態などで脆
弱になっている
ユーザ、オペレータ
利⽤が許可されている機能あるいは
データの取り扱いを誤⽤してしまう
Enabling Security with "シフトレフト" © Asterisk Research, Inc. 20

システムの脆弱性の対応？
「タイミングとスピード」の話
(c) Riotaro OKADA 21

チャット系
グループウェア
オンライン会議系
社内SNS
インストール型
総合 ナレッジ共有
日報 社内報
総合
ワークフロー
総合
エンジニア コンサル
マーケティング
プラットフォーム型
Webサイト
クラウドソーシング型
総合 クリエイティブ テスター・入力
翻訳・ライティング・編集
オンラインセミナー・イベント
人事
コミュニケーション
営業
周辺ツール ホワイトボード
ノーコード
iPaaS HP ECサイト
フォーム
ハード系
MA / CRMツール
名刺管理
メール
商談関連
フォームアタック
D
セールス支援
顧客管理
セールス
セールス
HR系
人事評価 エンゲージメント向上
エンゲージメント測定ツール
日程調整
デザイン
採用関連 人事関連
オンライン1on1 オンライン福利厚生
リモート人材活用
エージェント型
エンジニア
2021/02/08 現在
(c) Riotaro OKADA / Asterisk Research, Inc.
ノーコード︖ローコード︖連携︖

設計の問題と、実装の問題の両方とも、脆弱性の原因になる。
Design ‒ 設計 Implement ‒ 実装
© Asterisk Research, Inc. 23
⼊⼒データ信頼の
条件
採⽤する認証メカ
ニズム
認証と認可 データと制御の分
離
暗号化と機密デー
タの識別
外部
コンポーネント
ログ、エラー 想定脅威
データベース
アクセス
エンコーディング
とエスケープ
⼊⼒値検証 IDと認証管理
アクセス制御 データ保護 モニタリング
機能
エラー処理と
例外処理

システムの重大なセキュリティ問題トップ10 / 2021年版
• A01:2021 – アクセス制御の不備
• A02:2021 – 暗号化の失敗
• A03:2021 – インジェクション
• A04:2021 – 安全が確認されない不安な設計
• A05:2021 – セキュリティの設定ミス
• A06:2021 – 脆弱で古くなったコンポーネント
• A07:2021 – 識別と認証の失敗
• A08:2021 – ソフトウェアとデータの整合性の不具合
• A09:2021 – セキュリティログとモニタリングの失敗
• A10:2021 – サーバーサイドリクエストフォージェリ (SSRF)
24

(c) Riotaro OKADA / Asterisk Research, Inc.
25
Up 5項⽬
• A01 アクセス制御の不備
• A02 暗号化の失敗
• A05 セキュリティの設定ミス
• A06 脆弱で古くなったコンポーネント
• A09セキュリティログとモニタリングの失敗

(c) Riotaro OKADA / Asterisk Research, Inc.
26
New ３項⽬
• A04 安全が確認されない不安な設計
• A08ソフトウェアとデータの整合性の不具合
• A10サーバーサイド・リクエスト・フォージェリ

プログラマがセキュリティを好きではない理由トップ10
1. Sec連中は、現場を理解していないし、たぶんコードの書き方も知らない。
2. 誰もセキュリティをやる方法を教えてくれない。
3. ここまで力を入れ、時間をかけるべき理由がわからない。
4. プロセスが難しい、またはちゃんと決まっていない。
5. 変化が激しく、いつも言うことが違う。
6. 十分注意を払う時間が足りない。
7. 突然現れては、門番のように行く手の邪魔をする。
8. 扱わなければならない量が多くなり、対応がたいへん。
9. どんより。しかも、成功を祝われることはない。
10. ツールは、うるさいし、不愉快だし、しかも、正確じゃない。
2023年
By Chris Romeo, 2021

SBOM
Software Bill Of Materials

Bill Of Materials = 部品表
• 製造業において製品を製造する上で必要な部品
情報や、どのような構成で組み上がっているの
かを把握するための基本情報
• 設計部門から購買部門、製造部門へと引き渡さ
れ、調達スケジュールや工程管理、さらに原価
管理においても不可欠
• 製造する製品に必要な部品管理を効率的に行う
ことを目的
https://www.techs-s.com/media/show/7

SBOM︓Software Bill Of Materials
• SBOM（Software Bill Of Materials︓ソフトウェア
部品表）とは、特定の製品に含まれるすべて（プロ
プライエタリおよびオープンソースなど）のソフト
ウェアコンポーネント、ライセンス、依存関係を⼀
覧化したもの

US 大統領令
• 2021年7⽉12⽇、⽶国連邦政府は、バイデ
ン政権の⼤統領令に準拠するためのSBOM
における最低限必要な要素を発表しました。
EO14028
• このガイドラインは、連邦政府と取引のあ
る組織にのみ適⽤。

ソフトウエアに安全基準
日米、サイバー防衛で覚書へ
• 2023/1「日本も準拠する」
• 日本は24年にも導入する方向

SBOMは
使い方次第
• 透明性のジレンマ
• 互換性のジレンマ
• 可用性のジレンマ
(c) Riotaro OKADA 33
https://www.techs-s.com/media/show/7

脆弱性の対応マップ
脆弱性発⽣箇所 どんな状態か 対応⼿段の提供者 すぐ対応 シフトレフト
デスクトップやスマートフォン
デバイスのOSに問題があり、保護が⼿
薄、あるいは脆弱な状態になっている
プラットフォーマ
(Apple, Googleなど)
アップデート適⽤、
設定調整
⾃動アップデート活⽤、
更新情報プロセス強化
アプリケーションソフトウェア バグや、踏み台などの脆弱性 開発会社、販売会社
アップデート適⽤、設定
調整、
アップデートあるいは
アンインストール
ネットワーク機器、デバイス
装置のファームウェアが古いあるいは
悪⽤されやすい設定になっているため
脆弱な状態
メーカー アップデート適⽤
ネットワーク機器や
構成の⾒直し
システム：オープンソースや
サードパーティAPIなど
システムで利⽤しているOSで使われて
いるOSSのソースコードに問題が発⾒
され脆弱性があるということが広く知
られる
OSSプロジェクト、
LinuxやMicrosoftなど
OSベンダー
動作検証と
アップデート適⽤
ソフトウェア構成分析SCA
の導⼊、SBOM
システム：プログラムコード
⾃社あるいはSIerが開発したコードに問
題があり、脆弱になっている
コードを書いた⼈ない
し、開発プロジェクト
チーム
プログラムの修正
SAST、ハンズオン
教育訓練、検査ツールの強
化など⽣産技術的強化
システム：クラウドサービス、
アプリケーションの設定
コンフィギュレーションの問題で、
データが侵害されやすい状態などで脆
弱になっている
クラウドベンダーある
いはその先進的なユー
ザ
設定の修正
適切な脆弱性検査や
モニタリングの強化
ユーザ、オペレータ
利⽤が許可されている機能あるいは
データの取り扱いを誤⽤してしまう
Enabling Security with "シフトレフト" © Asterisk Research, Inc. 34

システムの脆弱性対応で終わらない理由
人、社会環境の脆弱性
Asterisk Research, Inc. (c) 35

情報セキュリティ10大脅威 2023 (情報処理推進機構発表)
前年 個⼈ 順位 組織 前年
1位 フィッシングによる個⼈情報等の詐取 1位 ランサムウェアによる被害 1位
2位 ネット上の誹謗・中傷・デマ 2位 サプライチェーンの弱点を悪⽤した攻撃 3位
3位
メールやSMS等を使った脅迫・詐欺の⼿⼝
による⾦銭要求
3位 標的型攻撃による機密情報の窃取 2位
4位 クレジットカード情報の不正利⽤ 4位 内部不正による情報漏えい 5位
5位 スマホ決済の不正利⽤ 5位
テレワーク等の ニューノーマルな働き⽅を
狙った攻撃
4位
7位
不正アプリによる
スマートフォン利⽤者への被害
6位
修正プログラムの公開前を狙う攻撃
（ゼロデイ攻撃）
7位
6位 偽警告によるインターネット詐欺 7位 ビジネスメール詐欺による⾦銭被害 8位
8位
インターネット上のサービスからの
個⼈情報の窃取
8位 脆弱性対策情報の公開に伴う悪⽤増加 6位
10位 インターネット上のサービスへの 不正ログイン 9位 不注意による情報漏えい等の被害 10位
圏外 ワンクリック請求等の 不当請求による⾦銭被害 10位
犯罪のビジネス化
（アンダーグラウンドサービス）
圏外

前年 個⼈ 順位 組織 前年
1位 フィッシングによる個⼈情報等の詐取 1位 ランサムウェアによる被害 1位
2位 ネット上の誹謗・中傷・デマ 2位 サプライチェーンの弱点を悪⽤した攻撃 3位
3位
メールやSMS等を使った脅迫・詐欺の⼿⼝
による⾦銭要求
3位 標的型攻撃による機密情報の窃取 2位
4位 クレジットカード情報の不正利⽤ 4位 内部不正による情報漏えい 5位
5位 スマホ決済の不正利⽤ 5位
テレワーク等の ニューノーマルな働き⽅を
狙った攻撃
4位
7位
不正アプリによる
スマートフォン利⽤者への被害
6位
修正プログラムの公開前を狙う攻撃
（ゼロデイ攻撃）
7位
6位 偽警告によるインターネット詐欺 7位 ビジネスメール詐欺による⾦銭被害 8位
8位
インターネット上のサービスからの
個⼈情報の窃取
8位 脆弱性対策情報の公開に伴う悪⽤増加 6位
10位 インターネット上のサービスへの 不正ログイン 9位 不注意による情報漏えい等の被害 10位
圏外 ワンクリック請求等の 不当請求による⾦銭被害 10位
犯罪のビジネス化
（アンダーグラウンドサービス）
圏外
情報セキュリティ10大脅威 2023 (情報処理推進機構発表)
システムの問題
- ソフトウェアの脆弱性
- 連携の複雑性
- 適切でない施策
- 複雑な構造による管理負荷の問題
- ネットワークの拡⼤
- 放置、丸投げ、思い込みで悪化

情報セキュリティ10大脅威 2023 (情報処理推進機構発表)
前年 個⼈ 順位 組織 前年
1位 フィッシングによる個⼈情報等の詐取 1位 ランサムウェアによる被害 1位
2位 ネット上の誹謗・中傷・デマ 2位 サプライチェーンの弱点を悪⽤した攻撃 3位
3位
メールやSMS等を使った脅迫・詐欺の⼿⼝
による⾦銭要求
3位 標的型攻撃による機密情報の窃取 2位
4位 クレジットカード情報の不正利⽤ 4位 内部不正による情報漏えい 5位
5位 スマホ決済の不正利⽤ 5位
テレワーク等の ニューノーマルな働き⽅を
狙った攻撃
4位
7位 不正アプリによる スマートフォン利⽤者への被害 6位
修正プログラムの公開前を狙う攻撃
（ゼロデイ攻撃）
7位
6位 偽警告によるインターネット詐欺 7位 ビジネスメール詐欺による⾦銭被害 8位
8位 インターネット上のサービスからの 個⼈情報の窃取 8位 脆弱性対策情報の公開に伴う悪⽤増加 6位
10位 インターネット上のサービスへの 不正ログイン 9位 不注意による情報漏えい等の被害 10位
圏外 ワンクリック請求等の 不当請求による⾦銭被害 10位
犯罪のビジネス化
（アンダーグラウンドサービス）
圏外
⼈の脆弱性
- 低い優先度
- 無知・無関⼼
- 技術不⾜
- コスト
- 資産の認識不⾜
- モラル
- 思い込み

情報セキュリティ10大脅威 2023 (情報処理推進機構発表)
前年 個⼈ 順位 組織 前年
1位 フィッシングによる個⼈情報等の詐取 1位 ランサムウェアによる被害 1位
2位 ネット上の誹謗・中傷・デマ 2位 サプライチェーンの弱点を悪⽤した攻撃 3位
3位
メールやSMS等を使った脅迫・詐欺の⼿⼝
による⾦銭要求
3位 標的型攻撃による機密情報の窃取 2位
4位 クレジットカード情報の不正利⽤ 4位 内部不正による情報漏えい 5位
5位 スマホ決済の不正利⽤ 5位
テレワーク等の ニューノーマルな働き⽅を
狙った攻撃
4位
7位 不正アプリによる スマートフォン利⽤者への被害 6位
修正プログラムの公開前を狙う攻撃
（ゼロデイ攻撃）
7位
6位 偽警告によるインターネット詐欺 7位 ビジネスメール詐欺による⾦銭被害 8位
8位 インターネット上のサービスからの 個⼈情報の窃取 8位 脆弱性対策情報の公開に伴う悪⽤増加 6位
10位 インターネット上のサービスへの 不正ログイン 9位 不注意による情報漏えい等の被害 10位
圏外 ワンクリック請求等の 不当請求による⾦銭被害 10位
犯罪のビジネス化
（アンダーグラウンドサービス）
圏外
社会の脆弱性
- 広範囲な活動領域
- 標的へのアクセスがどこからでも簡単
- ソフトウェア量産にともない脆弱性も
- 「⾼収益な仕事」礼賛傾向
- 攻撃⼿段の容易な調達
- ⽴ち遅れる取り締まり、罰則

原因 - トップ5を理解する
1. セキュリティ問題の軽視
2. 無知と無関心
3. 技術的手段の不足
4. コストの問題
5. 情報資産の認識不足
Asterisk Research, Inc. (c) 40

原因 ‒ トップ10に拡げる
6. ポリシーや手順の問題
7. 継続的対策の欠如
8. システムの不適切な構築
9. 人のエラー
10. 法律・規制の遵守の欠陥
Asterisk Research, Inc. (c) 41
1. セキュリティ問題の軽視
2. 無知と無関心
3. 技術的手段の不足
4. コストの問題
5. 情報資産の認識不足

脆弱性の対応マップ
脆弱性発⽣箇所 どんな状態か 対応⼿段の提供者 すぐ対応 シフトレフト
デスクトップやスマートフォン
デバイスのOSに問題があり、保護が⼿
薄、あるいは脆弱な状態になっている
プラットフォーマ
(Apple, Googleなど)
アップデート適⽤、
設定調整
⾃動アップデート活⽤、
更新情報プロセス強化
アプリケーションソフトウェア バグや、踏み台などの脆弱性 開発会社、販売会社
アップデート適⽤、設定
調整、
アップデートあるいは
アンインストール
ネットワーク機器、デバイス
装置のファームウェアが古いあるいは
悪⽤されやすい設定になっているため
脆弱な状態
メーカー アップデート適⽤
ネットワーク機器や
構成の⾒直し
システム：オープンソースや
サードパーティAPIなど
システムで利⽤しているOSで使われて
いるOSSのソースコードに問題が発⾒
され脆弱性があるということが広く知
られる
OSSプロジェクト、
LinuxやMicrosoftなど
OSベンダー
動作検証と
アップデート適⽤
ソフトウェア構成分析SCA
の導⼊、SBOM
システム：プログラムコード
⾃社あるいはSIerが開発したコードに問
題があり、脆弱になっている
コードを書いた⼈ない
し、開発プロジェクト
チーム
プログラムの修正
SAST、ハンズオン
教育訓練、検査ツールの強
化など⽣産技術的強化
システム：クラウドサービス、
アプリケーションの設定
コンフィギュレーションの問題で、
データが侵害されやすい状態などで脆
弱になっている
クラウドベンダーある
いはその先進的なユー
ザ
設定の修正
適切な脆弱性検査や
モニタリングの強化
ユーザ、オペレータ
利⽤が許可されている機能あるいは
データの取り扱いを誤⽤してしまう
ユーザ⾃⾝、ならびに
その組織
応急対応と原因究明
⾮常事態の対応訓練
業務データ取り扱い訓練
ユーザビリティ向上
モニタリングの強化
Enabling Security with "シフトレフト" © Asterisk Research, Inc. 42

すぐはじめよう
• 自社でプログラム開発していない企業の場合でもやること
はある
• 人の脆弱性はユーザ訓練で実践力を高める
• セキュリティ・ユーザビリティを高める
• デバイス・アプライアンス・アプリケーションのアップデート状況
• 利用しているシステム、サービスの把握とコミュニケーション（放置モノ
の排除）
• 「あれ？」と思った場合のホットラインを構築せよ
(c) Riotaro OKADA 47

すぐはじめよう
• 自社独自システムがある場合++
• 古漬けシステムがあるんだろう
• 気合いと根性でやりくりしている状態の改善を検討せよ
• クラウド移行の場合に「設定」「構成」「設計」をないがしろにし
ないように
•
(c) Riotaro OKADA 48

すぐはじめよう
• 自社で開発をする企業の場合++
• Learning First。脆弱性指摘されても意味がわかるように、まず学ぼうよ
• SBOMの前に（に、備えて）ソフトウェア構成分析（Software Composition
Analysis）
• SASTはやったほうがいい
• 脆弱性検査は改善アドバイスをどれだけ得られるかがキモ
(c) Riotaro OKADA 49

アスタリスク・リサーチ

アスタリスク・リサーチ 企業におけるセキュリティ実践⽀援企業
asteriskresearch.com
(c) Riotaro OKADA / Asterisk Research, Inc.
55
Professional Tools
実践段階のQCDを⾼める道具
・トレーニング
・Eラーニング
・開発環境向けツール(CI/CD)
・トレーニングイベントデザイン
・リスクプロファイルトレーニング
・脅威分析トレーニング
Advisory Service
経営陣の⾼速な意思決定を実現するアドバイザリ
・PSIRT/CSIRT Advisory
・DevOps Transformation
・セキュリティ・スコアカード分析
・エグゼクティブ向けブリーフィング
・CISO, CTO, CROハンズオン
Security Test Managed Service
セキュリティ脆弱性発⾒から改善に効くサービス ・設計の脅威対応分析 Threat Analysis
・コンポーネント分析 SCA
・ソースコード分析 SAST
・システム脆弱性テスト DAST
・プラットフォームテスト NST

また、おめにかかり
ましょう
@okdt