メモ

辻氏　まず、セキュリティ診断には大きく分けて2つの種類があります。1つは「ネットワーク診断」あるいは「プラットフォーム診断」と呼ばれるもの。もう1つが「Web（アプリケーション）診断」です。
　これらは診断の範囲が異なっていて、前者では、WindowsやLinuxなどのOSや、その上で動いているApache、DNSといった各種サーバに脆弱（ぜいじゃく）性がないかを診断します。一方後者では、こうしたプラットフォーム上で動く独自開発のWebアプリケーションに脆弱性がないかをチェックします。
　ここでややこしいのが、「既成のCMSや、Apache Strutsなどのフレームワークに対する診断はどっちに入るの？」という点です。僕はこれらはネットワーク診断に含まれると考えていますが。
根岸氏　診断を受ける側としては、「CMSなどに対する診断がどちらに含まれているのか認識していなくて、診断が漏れてしまった」という事態に陥らないことが大切ですね。
辻氏　はい。業者によって切り分けが異なることもありますので、診断を受ける際には、「何が診断範囲に含まれているのか」に注意する必要があります。

「セキュリティ診断」を受ける前に知っておきたい基礎知識：セキュリティのアレ（37） - ＠IT