VAPTという名前は、脆弱性診断(VulnerabilityAssessment)とペネトレーションテスト(PenetrationTest)の組み合わせに由来しています。脆弱性診断のプロセスでは、セキュリティエンジニアがWEBサイトやアプリケーションなどの脆弱性を特定し、リスクを分析し、その結果を報告し、さらに改善策を提案します。一方、ペネトレーションテストでは、ネットワーク機器の脆弱性を探すことやセキュリティ上の問題を露呈させること、さらにはターゲットに向けた模擬的なマルウェア攻撃を仕掛けるなど、幅広い方角からシミュレーション攻撃を行います。これらの2つのセキュリティ手段は一般的に合わせてVAPTと称されます。
