ASMと脆弱性診断の違いは、ASMが未把握の資産を含む外部公開IT資産全体を対象とするのに対し、脆弱性診断は把握済みのIT資産に対して具体的な脆弱性を特定する点にあります。両者は共にセキュリティ対策に不可欠ですが、目的と対象範囲が異なります。
- IT資産の範囲
ASMは外部からアクセス可能な全IT資産を対象とし、脆弱性診断は把握済みのIT資産を対象とする - 情報の確度
ASMは脆弱性の可能性を示すにとどまるが、脆弱性診断は具体的な脆弱性を特定する - IT資産への影響
ASMはIT資産への影響が少ないが、脆弱性診断はIT資産の動作に影響を与える可能性がある
効果的なセキュリティ対策には、両者を目的に応じて使い分けることが重要です。
詳しい違いについては「脆弱性診断との違い」をご覧ください。
