脆弱性管理とは? わかりやすく解説

脆弱性管理

出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2024/11/18 15:55 UTC 版)

脆弱性管理 (ぜいじゃくせいかんり、: vulnerability management)は、ソフトウェアの脆弱性を「識別、分類、優先順位付け、修正、および軽減する循環的な慣行」のこと[1] 。脆弱性管理はコンピュータセキュリティネットワークセキュリティに不可欠である。脆弱性評価と混同しないこと[2]

脆弱性は、脆弱性検査ツールを使用して発見することができる。脆弱性検査ツールは、コンピューターシステムを分析して、開いているポート、安全でないソフトウェア構成、マルウェア感染に対する感受性などの既知の脆弱性[3]を検索できる。ゼロデイ攻撃などの未知の脆弱性は、ファジングテストで見つかる可能性があるこれにより、関連するテストケースでのバッファオーバーフローなど、特定の種類の脆弱性を特定できる。このような分析は、テスト自動化で容易になる。さらに、ヒューリスティック分析が可能なウイルス対策ソフトウェアは、ソフトウェアが疑わしい動作(システムファイルの上書きを試みるなど)を検出した場合、既知でないマルウェアを発見できる可能性もある。

脆弱性への対策には、パッチインストール、ネットワークセキュリティポリシーの変更、ソフトウェアの再構成、またはソーシャルエンジニアリングについてのユーザーの教育などが有効である。

脆弱性探索基本ユニット

未認証(Unauthenticated)コントロール

従来のアクティブな認証なしスキャン(認証なしスキャンとも呼ばれる)は、システム認証なしでセキュリティ・システムを評価する一般的な方法である[4][5][6]。ホスト上のオープンポート、プロトコル、サービスのリストを無許可で監視し、攻撃者がネットワークに侵入できる脆弱性や設定ミスを特定する[7][8][9]

検証済み(認証済み)コントロール

従来の認証検査は、認証スキャンとも呼ばれ、非認証検査の前に、より深いプレビューを提供する[10][11]。コントロールは、システムやアプリケーションの認証にクレデンシャルを使用する。

プロジェクト脆弱性管理

プロジェクトの脆弱性とは、プロジェクトがネガティブな出来事にさらされること、その影響を分析すること、ネガティブな出来事に対処するプロジェクトの能力を分析することである[12]。サイバーリスクの優先順位付けとは、脅威の可能性、問題の深刻度、攻撃が成功した場合の潜在的な影響、修復にかかるコストなどの様々な要因に基づいて、サイバーリスクを特定、評価、ランク付けするプロセスである[13][14]。システム思考に基づくシステム的なプロジェクトの脆弱性管理は、全体的な状況を見渡し、次のようなプロセスを提案する:

  1. プロジェクトの脆弱性の特定
  2. 脆弱性分析
  3. 脆弱性対応計画
  4. 脆弱性管理 - 実施、監視、管理、教訓を含む

このモデルでは、ネガティブな出来事を克服するには、次のような方法がある:

  • レジリエンスとは、瞬間的なダメージに耐える能力を意味する静的な側面である
  • レジリエンス(resilience) - 適時に回復する能力を指すダイナミックな側面

脚注

  1. ^ Foreman, P: Vulnerability Management, page 1. Taylor & Francis Group, 2010. ISBN 978-1-4398-0150-5
  2. ^ “Vulnerability Assessments vs. Vulnerability Management” (英語). Hitachi Systems Security | Managed Security Services Provider. (2018年2月19日). https://www.hitachi-systems-security.com/blog/difference-vulnerability-assessments-vulnerability-management/ 2018年8月4日閲覧。 
  3. ^ Anna-Maija Juuso and Ari Takanen Unknown Vulnerability Management, Codenomicon whitepaper, October 2010 .
  4. ^ Vulnerability Assessment in Cybersecurity: A Complete Guide”. cybersecurityforme.com. 2024年11月18日閲覧。
  5. ^ What are Types of Vulnerability Scanning?”. www.getastra.com. 2024年11月18日閲覧。
  6. ^ What is Vulnerability Scanning?”. drata.com. 2024年11月18日閲覧。
  7. ^ Vulnerability Scanning Tools with Examples”. www.golinuxcloud.com. 2024年11月18日閲覧。
  8. ^ Nmap Vulnerability Scan: How To Easily Run And Assess Risk”. www.datamation.com. 2024年11月18日閲覧。
  9. ^ 10 Best Vulnerability Scanner Tools For Penetration Testing”. gbhackers.com. 2024年11月18日閲覧。
  10. ^ A Detailed Guide to NIST 800-171 Vulnerability Scanning”. www.getastra.com. 2024年11月18日閲覧。
  11. ^ What Is Vulnerability Scanning?”. purplesec.us. 2024年11月18日閲覧。
  12. ^ A Guide to Project Risk: Categories, Types, and Expert Advice”. www.smartsheet.com. 2024年11月18日閲覧。
  13. ^ Cyber Risk Prioritization”. attaxion.com. 2024年11月18日閲覧。
  14. ^ How To Perform a Cybersecurity Risk Assessment”. maddevs.io. 2024年11月18日閲覧。

関連項目

外部リンク


脆弱性管理

出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/05/02 00:27 UTC 版)

サイバーセキュリティ」の記事における「脆弱性管理」の解説

脆弱性管理とは「自社脆弱性状況を常に掌握して、より頻繁かつ効果的に修正するためのプロセス」の事である。脆弱性管理で行うプロセスツールサービスによって異なるものの、IT資産目録作成、守るべきIT資産優先度付け、IT資産脆弱性発見脆弱性のリスクレベルの特定対策優先度決定脆弱性への対処ないしその支援対処状況の一覧化といったプロセスを含む。

※この「脆弱性管理」の解説は、「サイバーセキュリティ」の解説の一部です。
「脆弱性管理」を含む「サイバーセキュリティ」の記事については、「サイバーセキュリティ」の概要を参照ください。

ウィキペディア小見出し辞書の「脆弱性管理」の項目はプログラムで機械的に意味や本文を生成しているため、不適切な項目が含まれていることもあります。ご了承くださいませ。 お問い合わせ


英和和英テキスト翻訳>> Weblio翻訳
英語⇒日本語日本語⇒英語
  

辞書ショートカット

すべての辞書の索引

「脆弱性管理」の関連用語

脆弱性管理のお隣キーワード
検索ランキング

   

英語⇒日本語
日本語⇒英語
   



脆弱性管理のページの著作権
Weblio 辞書 情報提供元は 参加元一覧 にて確認できます。

   
ウィキペディアウィキペディア
All text is available under the terms of the GNU Free Documentation License.
この記事は、ウィキペディアの脆弱性管理 (改訂履歴)の記事を複製、再配布したものにあたり、GNU Free Documentation Licenseというライセンスの下で提供されています。 Weblio辞書に掲載されているウィキペディアの記事も、全てGNU Free Documentation Licenseの元に提供されております。
ウィキペディアウィキペディア
Text is available under GNU Free Documentation License (GFDL).
Weblio辞書に掲載されている「ウィキペディア小見出し辞書」の記事は、Wikipediaのサイバーセキュリティ (改訂履歴)の記事を複製、再配布したものにあたり、GNU Free Documentation Licenseというライセンスの下で提供されています。

©2025 GRAS Group, Inc.RSS