脆弱性管理

脆弱性管理とは

脆弱性管理 (Vulnerability Management) とは、システムやソフトウェアに存在するセキュリティ上の弱点を継続的に特定・評価・修正するプロセスです。単発の脆弱性スキャンとは異なり、発見から修正、再検証までを一貫したサイクルとして運用する点が特徴です。

脆弱性管理のライフサイクルは、資産の棚卸し → 脆弱性スキャン → リスク評価 → 優先順位付け → 修正 (パッチ適用・設定変更) → 再検証の 6 段階で構成されます。このサイクルを定期的に回すことで、攻撃者がゼロデイ攻撃以外の既知の脆弱性を悪用するリスクを大幅に低減できます。

CVSS によるリスク評価と優先順位付け

脆弱性の深刻度を定量的に評価する業界標準が CVSS (Common Vulnerability Scoring System) です。CVSS v4.0 では、攻撃の複雑さ、必要な権限、影響範囲などを数値化し、0.0 から 10.0 のスコアを算出します。

ただし、CVSS スコアだけで修正の優先順位を決めるのは危険です。実務では以下の要素を総合的に判断します。

• 悪用可能性: 実際に攻撃コード (PoC) が公開されているか。CISA の KEV (Known Exploited Vulnerabilities) カタログに掲載されている脆弱性は最優先で対応する
• 資産の重要度: 顧客データを扱うシステムと社内ツールでは、同じ CVSS スコアでも対応の緊急度が異なる
• 到達可能性: インターネットに公開されたサービスか、ファイアウォールの内側にあるかで実質的なリスクが変わる
• 補償コントロール: WAF や IPS で一時的に攻撃を遮断できるかどうか

脆弱性スキャンの種類と運用

脆弱性スキャンには複数のアプローチがあり、それぞれ検出できる範囲が異なります。

• ネットワークスキャン: 外部または内部からポートスキャンとサービス検出を行い、既知の脆弱性を照合する。Nessus、Qualys、OpenVAS などが代表的なツール
• エージェントベーススキャン: 各サーバーにエージェントを導入し、OS パッケージやミドルウェアのバージョンを内部から正確に把握する。ネットワークスキャンでは検出できない設定不備も発見できる
• SCA (Software Composition Analysis): アプリケーションが依存するオープンソースライブラリの脆弱性を検出する。npm audit、Snyk、Trivy などが該当する
• DAST (Dynamic Application Security Testing): 稼働中の Web アプリケーションに対して擬似的な攻撃リクエストを送り、ペネトレーションテストに近い形で脆弱性を検出する

実務では、これらを組み合わせて網羅性を確保します。週次のエージェントスキャン、月次のネットワークスキャン、CI/CD パイプラインでの SCA を並行運用するのが一般的です。

脆弱性管理の成熟度を高めるために

脆弱性管理を形骸化させず、組織のセキュリティレベルを継続的に向上させるには、以下の指標と仕組みが重要です。

• MTTR (Mean Time to Remediate): 脆弱性の発見から修正完了までの平均時間。Critical は 48 時間以内、High は 7 日以内など、SLA を定義して追跡する
• カバレッジ率: 管理対象資産のうち、スキャンが実施されている割合。100% を目指すが、シャドー IT の存在を常に疑う
• 再発率: 一度修正した脆弱性が再び検出される割合。高い場合はパッチ管理プロセスやイメージ管理に問題がある

SIEM と連携して脆弱性情報と脅威インテリジェンスを突合すると、実際に攻撃を受けている脆弱性を即座に特定できます。CSIRT との連携体制を構築し、重大な脆弱性が発見された際のエスカレーションパスを事前に定義しておくことも不可欠です。

よくある誤解

脆弱性スキャンを定期的に実行していれば脆弱性管理ができている

スキャンは脆弱性管理の一工程にすぎません。発見した脆弱性の優先順位付け、修正、再検証までを含む継続的なプロセスを運用して初めて脆弱性管理と呼べます。スキャン結果を放置していては、リスクは何も変わりません。

CVSS スコアが Critical の脆弱性だけ対応すれば十分

CVSS スコアが中程度でも、実際に攻撃コードが出回っている脆弱性は即座に悪用されます。CISA KEV カタログに掲載された脆弱性や、自組織の公開資産に影響する脆弱性は、スコアに関わらず優先的に対応すべきです。

脆弱性スキャンとペネトレーションテストの違い

関連用語

関連記事