脆弱性管理とは？わかりやすく解説

脆弱性管理 (ぜいじゃくせいかんり、英: vulnerability management)は、ソフトウェアの脆弱性を「識別、分類、優先順位付け、修正、および軽減する循環的な慣行」のこと^[1] 。脆弱性管理はコンピュータセキュリティとネットワークセキュリティに不可欠である。脆弱性評価と混同しないこと^[2] 。

脆弱性は、脆弱性検査ツールを使用して発見することができる。脆弱性検査ツールは、コンピューターシステムを分析して、開いているポート、安全でないソフトウェア構成、マルウェア感染に対する感受性などの既知の脆弱性^[3]を検索できる。ゼロデイ攻撃などの未知の脆弱性は、ファジングテストで見つかる可能性があるこれにより、関連するテストケースでのバッファオーバーフローなど、特定の種類の脆弱性を特定できる。このような分析は、テスト自動化で容易になる。さらに、ヒューリスティック分析が可能なウイルス対策ソフトウェアは、ソフトウェアが疑わしい動作（システムファイルの上書きを試みるなど）を検出した場合、既知でないマルウェアを発見できる可能性もある。

脆弱性への対策には、パッチのインストール、ネットワークセキュリティポリシーの変更、ソフトウェアの再構成、またはソーシャルエンジニアリングについてのユーザーの教育などが有効である。

脆弱性探索基本ユニット

未認証（Unauthenticated）コントロール

従来のアクティブな認証なしスキャン（認証なしスキャンとも呼ばれる）は、システム認証なしでセキュリティ・システムを評価する一般的な方法である^[4]^[5]^[6]。ホスト上のオープンポート、プロトコル、サービスのリストを無許可で監視し、攻撃者がネットワークに侵入できる脆弱性や設定ミスを特定する^[7]^[8]^[9]。

検証済み（認証済み）コントロール

従来の認証検査は、認証スキャンとも呼ばれ、非認証検査の前に、より深いプレビューを提供する^[10]^[11]。コントロールは、システムやアプリケーションの認証にクレデンシャルを使用する。

プロジェクト脆弱性管理

プロジェクトの脆弱性とは、プロジェクトがネガティブな出来事にさらされること、その影響を分析すること、ネガティブな出来事に対処するプロジェクトの能力を分析することである^[12]。サイバーリスクの優先順位付けとは、脅威の可能性、問題の深刻度、攻撃が成功した場合の潜在的な影響、修復にかかるコストなどの様々な要因に基づいて、サイバーリスクを特定、評価、ランク付けするプロセスである^[13]^[14]。システム思考に基づくシステム的なプロジェクトの脆弱性管理は、全体的な状況を見渡し、次のようなプロセスを提案する：

プロジェクトの脆弱性の特定
脆弱性分析
脆弱性対応計画
脆弱性管理 - 実施、監視、管理、教訓を含む

このモデルでは、ネガティブな出来事を克服するには、次のような方法がある：

レジリエンスとは、瞬間的なダメージに耐える能力を意味する静的な側面である
レジリエンス（resilience） - 適時に回復する能力を指すダイナミックな側面

脚注

^ Foreman, P: Vulnerability Management, page 1. Taylor & Francis Group, 2010. ISBN 978-1-4398-0150-5
^ “Vulnerability Assessments vs. Vulnerability Management” (英語). Hitachi Systems Security | Managed Security Services Provider. (2018年2月19日) 2018年8月4日閲覧。
^ Anna-Maija Juuso and Ari Takanen Unknown Vulnerability Management, Codenomicon whitepaper, October 2010 .
^ “Vulnerability Assessment in Cybersecurity: A Complete Guide”. cybersecurityforme.com. 2024年11月18日閲覧。
^ “What are Types of Vulnerability Scanning?”. www.getastra.com. 2024年11月18日閲覧。
^ “What is Vulnerability Scanning?”. drata.com. 2024年11月18日閲覧。
^ “Vulnerability Scanning Tools with Examples”. www.golinuxcloud.com. 2024年11月18日閲覧。
^ “Nmap Vulnerability Scan: How To Easily Run And Assess Risk”. www.datamation.com. 2024年11月18日閲覧。
^ “10 Best Vulnerability Scanner Tools For Penetration Testing”. gbhackers.com. 2024年11月18日閲覧。
^ “A Detailed Guide to NIST 800-171 Vulnerability Scanning”. www.getastra.com. 2024年11月18日閲覧。
^ “What Is Vulnerability Scanning?”. purplesec.us. 2024年11月18日閲覧。
^ “A Guide to Project Risk: Categories, Types, and Expert Advice”. www.smartsheet.com. 2024年11月18日閲覧。
^ “Cyber Risk Prioritization”. attaxion.com. 2024年11月18日閲覧。
^ “How To Perform a Cybersecurity Risk Assessment”. maddevs.io. 2024年11月18日閲覧。

外部リンク

「脆弱性管理プロセスの実装」。 SANSインスティテュート。

[1] Foreman, P: Vulnerability Management, page 1. Taylor & Francis Group, 2010. ISBN 978-1-4398-0150-5

[2] “Vulnerability Assessments vs. Vulnerability Management” (英語). Hitachi Systems Security | Managed Security Services Provider. (2018年2月19日) 2018年8月4日閲覧。

[Codenomicon-3] Anna-Maija Juuso and Ari Takanen Unknown Vulnerability Management, Codenomicon whitepaper, October 2010 .

[4] “Vulnerability Assessment in Cybersecurity: A Complete Guide”. cybersecurityforme.com. 2024年11月18日閲覧。

[5] “What are Types of Vulnerability Scanning?”. www.getastra.com. 2024年11月18日閲覧。

[6] “What is Vulnerability Scanning?”. drata.com. 2024年11月18日閲覧。

[7] “Vulnerability Scanning Tools with Examples”. www.golinuxcloud.com. 2024年11月18日閲覧。

[8] “Nmap Vulnerability Scan: How To Easily Run And Assess Risk”. www.datamation.com. 2024年11月18日閲覧。

[9] “10 Best Vulnerability Scanner Tools For Penetration Testing”. gbhackers.com. 2024年11月18日閲覧。

[10] “A Detailed Guide to NIST 800-171 Vulnerability Scanning”. www.getastra.com. 2024年11月18日閲覧。

[11] “What Is Vulnerability Scanning?”. purplesec.us. 2024年11月18日閲覧。

[12] “A Guide to Project Risk: Categories, Types, and Expert Advice”. www.smartsheet.com. 2024年11月18日閲覧。

[13] “Cyber Risk Prioritization”. attaxion.com. 2024年11月18日閲覧。

[14] “How To Perform a Cybersecurity Risk Assessment”. maddevs.io. 2024年11月18日閲覧。

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

脆弱性管理とは？わかりやすく解説