新たな脆弱性はいつ発生しても不思議ではないため、セキュリティー・チームは脆弱性管理を個別のイベントではなく、継続的なライフサイクルとしてアプローチしています。このライフサイクルは、発見、分類と優先順位付け、解決、再評価、レポート作成という5つの継続的かつ重複するワークフローで構成されています。

1. 発見

発見ワークフローの中心は脆弱性評価です。このプロセスでは、組織のすべてのIT資産に既知および潜在的な脆弱性がないかを検査します。通常、セキュリティー・チームは、脆弱性スキャナー・ソフトウェアを使用してこのプロセスを自動化します。脆弱性スキャナーの中には、定期的なスケジュールで包括的なネットワーク・スキャンを実行するものもあれば、ノートPC、ルーター、およびその他のエンドポイントにインストールされたエージェントを使用して各デバイス上のデータを収集するものもあります。また、セキュリティー・チームは、ペネトレーション・テストなどの一時的な脆弱性評価を使用して、スキャナーが見逃す可能性のある脆弱性を特定することもあります。

2. 分類と優先順位付け

脆弱性が特定されると、脆弱性はタイプ別（デバイスの設定ミス、暗号化の問題、機密データの漏洩など）に分類され、重要度レベルに応じて優先順位が付けられます。重要度レベルは、各脆弱性の重大度、悪用される可能性、攻撃につながる可能性を推定したものです。

脆弱性管理ソリューションでは通常、サイバーセキュリティー業界のオープン・スタンダードであるCommon Vulnerability Scoring System（CVSS）などの脅威インテリジェンス・ソースを利用して、既知の脆弱性の重要度を0から10のスケールで評価します。その他によく使用されるインテリジェンス・ソースとして、MITREのCommon Vulnerabilities and Exposures（CVE）のリストと、NISTのNational Vulnerability Database（NVD）の2つがあります。 

3. 解決

脆弱性に優先順位が付けられると、セキュリティー・チームは、以下の3つの方法のいずれかでそれらの脆弱性を解決できます。

• 修復 —ソフトウェアのバグを修正するパッチをインストールしたり、脆弱性のある資産を廃棄するなどして、脆弱性を悪用できないように完全に対処します。多くの脆弱性管理プラットフォームでは、パッチの自動ダウンロードとテストのためのパッチ管理や、一元化されたダッシュボードやポータルからネットワークとデバイスの設定ミスに対処するための構成管理など、修復ツールが用意されています。
• 軽減—脆弱性を完全に排除することなく、脆弱性の悪用を難しくしたり、悪用された場合の影響を軽減したりします。脆弱性のあるデバイスをオンラインにしたまま、他のネットワークからセグメント化することは、軽減の一例です。多くの場合、パッチやその他の修復手段が提供されていない場合に、軽減が実行されます。
• 受け入れ—脆弱性に対処せずに残しておきます。重要度スコアが低い（悪用される可能性が低い、または重大な損害を引き起こす可能性が低い）脆弱性は、受け入れられることが多くあります。

4. 再評価

脆弱性が解決されると、通常、セキュリティー・チームは新たに脆弱性評価を行い、脆弱性の軽減や修復の取り組みが機能していること、および新しい脆弱性を引き起こしていないことを確認します。

5. レポート作成

脆弱性管理プラットフォームでは、通常、平均検出時間（MTTD）や平均応答時間（MTTR）などの指標についてレポートするためのダッシュボードが用意されています。また、多くのソリューションでは、特定された脆弱性のデータベースを保持しています。これにより、セキュリティー・チームは、特定された脆弱性の解決を追跡したり、過去の脆弱性管理の取り組みを監査したりすることができます。

これらのレポート機能により、セキュリティー・チームは、継続的な脆弱性管理活動のためのベースラインを確立し、プログラムのパフォーマンスを長期にわたって監視できます。また、レポートを使用して、セキュリティー・チームと、資産の管理を担当しているが脆弱性管理プロセスに直接関与していない他のITチームとの間で情報を共有することもできます。

リスクベースの脆弱性管理（RBVM）は、脆弱性への比較的新しいアプローチです。RVBMは、利害関係者固有の脆弱性データを人工知能および機械学習機能と組み合わせることで、3つの重要な方法で脆弱性管理を強化します。

より多くのコンテキストでより効果的な優先順位付けを実現。従来の脆弱性管理ソリューションでは、CVSSやNIST NVDなどの業界標準のリソースを使用して重要度を判断します。これらのリソースは、すべての組織で脆弱性の平均的な重要度を判断できる一般性を利用しています。しかし、利害関係者別の脆弱性データがないため、特定の企業での脆弱性の重要度の優先順位が過大評価または過小評価される危険性があります。

例えば、どのようなセキュリティー・チームでも、ネットワーク上のすべての脆弱性に対処する時間やリソースはないため、多くの場合、CVSSスコアが「高」（7.0-8.9）または「重大」（9.0-10.0）の脆弱性を優先します。しかし、機密情報の保管や処理を行わない資産、あるいはネットワークの高価値セグメントへの経路を提供していない資産に「重大」な脆弱性が存在する場合、それらの修復に無駄な時間が使われる可能性があります。

CVSSスコアの低い脆弱性であっても、ある組織にとっては他の組織よりも脅威となることがあります。2014年に発見されたHeartbleedのバグは、 CVSSスケールで「中」（5.0）と評価（ibm.com外部へのリンク）されていました。それでも、ハッカーはこのバグを利用して、米国最大の病院チェーンの1つから450万人の患者のデータを盗む（ibm.com外部へのリンク）など、大規模な攻撃を成功されました。

RBVMは、利害関係者固有の脆弱性データ（影響を受ける資産の数や重要度、資産が他の資産とどのように接続されているか、悪用された場合の損害の可能性など）と、サイバー犯罪者が現実世界でどのように脆弱性を利用しているかについてのデータによってスコアリングを補完しています。また、機械学習を使用して、各脆弱性が組織に及ぼすリスクをより正確に反映したリスク・スコアを策定します。これにより、ITセキュリティー・チームは、ネットワーク・セキュリティーを犠牲にすることなく、優先すべき重大な脆弱性の数を減らすことができます。

リアルタイムの発見。 RBVMでは、多くの場合、脆弱性スキャンを定期的なスケジュールではなくリアルタイムで実施します。さらに、RBVMソリューションでは、より広範な資産を監視することができます。通常、従来型の脆弱性スキャナーの対象はネットワークに直接接続された既知の資産に限定されていますが、RBVMツールでは、オンプレミスやリモート・モバイル・デバイス、クラウド資産、サードパーティー・アプリケーション、その他のリソースをスキャンできます。

自動再評価。RBVMプロセスでは、継続的な脆弱性スキャンによって自動的に再評価が行われる場合があります。従来型の脆弱性管理では、再評価を行うために意図的なネットワーク・スキャンやペネトレーション・テストが必要になることがあります。

脆弱性管理は、攻撃対象領域管理（ASM）と密接に関連しています。ASMとは、組織の攻撃対象領域を構成する脆弱性と潜在的な攻撃ベクトルを継続的に発見、分析、修復、監視することです。ASMと脆弱性管理の主な違いは、その対象範囲です。どちらのプロセスも組織の資産の脆弱性を監視して解決しますが、ASMはネットワーク・セキュリティーに対してより包括的なアプローチを取ります。

ASMソリューションには、ネットワークに接続されているすべての既知の資産、未知の資産、サードパーティーの資産、従属的な資産、悪意のある資産を識別および監視する資産検出機能が含まれています。また、ASMはIT資産のみにとどまらず、組織の物理的およびソーシャル・エンジニアリングの攻撃対象領域にある脆弱性も特定します。次に、ハッカーの視点からこれらの資産と脆弱性を分析し、サイバー犯罪者がネットワークに侵入するためにそれらをどのように利用するかを理解します。

リスクベースの脆弱性管理（RBVM）の増加に伴って、脆弱性管理とASMの境界線はますます曖昧になっています。ASMでは、脆弱性管理のみの場合よりも包括的に攻撃対象領域を把握できるため、組織は、RBVMソリューションの一部としてASMプラットフォームを導入することがよくあります。