脆弱性スキャナの説明として適切なものはどれか。

📝 解説

脆弱性スキャナは「OSやソフトウェア・ネットワーク機器・Webアプリケーションなどの既知の脆弱性（CVEデータベース等と照合）を自動的に検出するツール」です。建物の定期点検に例えると、専門家が建物全体を回って「ここの壁にひびが入っている（脆弱性あり）」「この設備のネジが緩んでいる（設定ミス）」と問題箇所を自動チェックリストで洗い出す作業がまさに脆弱性スキャンです。スキャナは①ネットワーク越しにポートスキャン・バナー情報からバージョンを特定②CVEデータベースと照合③深刻度（CVSS）を算出してレポートを生成します。Nessus（最も有名な商用ツール）・OpenVAS（オープンソース）・Qualys（クラウド型）が代表例です。定期的なスキャンにより「パッチが当たっていない古いソフトウェア」を発見し優先度をつけて対処できます。ただしスキャナは既知の脆弱性しか検出できないため、ゼロデイ脆弱性には効果が限られます。誤答の「マルウェアを検出するツール」はアンチウイルスソフト、「パスワードの強度を測定するツール」はパスワード強度チェッカーの説明です。「脆弱性スキャナ＝CVEと照合して既知の脆弱性を自動検出・定期スキャンでパッチ適用の優先度を決める」と覚えましょう！