脆弱性管理とは

脆弱性管理とは

脆弱性管理は、ITリスク管理のサブドメインであり、組織のITインフラストラクチャーおよびソフトウェアにおけるセキュリティー上の脆弱性の継続的な発見、優先順位付け、および解決を行います。

セキュリティー脆弱性とは、ネットワークやネットワーク上の資産の構造、機能、実装に存在する不備や弱点のことで、ハッカーはこれらを悪用して、サイバー攻撃を行ったり、システムやデータに不正にアクセスしたり、組織に損害を与えたりする可能性があります。

一般的な脆弱性の例としては、特定の種類のマルウェアにネットワークへの侵入を許すようなファイアウォールの設定ミスや、ハッカーにデバイスの乗っ取りを許すようなオペレーティング・システムのリモート・デスクトップ・プロトコルのバグにパッチが適用されていない状態などがあります。

今日の企業ネットワークは非常に分散しており、毎日のように多数の新しい脆弱性が発見されているため、効果的な脆弱性管理を手動で行ったり、その場しのぎで行ったりすることはほとんど不可能です。通常、サイバーセキュリティー・チームは、プロセスを自動化するために脆弱性管理ソリューションを利用しています。

Center for Internet Security(CIS)は、最も一般的なサイバー攻撃から防御するためのCritical Security Controlsの1つとして、継続的な脆弱性管理を挙げています。脆弱性管理により、ITセキュリティー・チームは、脆弱性が悪用される前に特定して解決することで、よりプロアクティブなセキュリティー体制を導入できるようになります。

Thinkニュースレター

あなたのチームは時間内に次のゼロデイを受け入れますか?

AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。

サブスクリプションは英語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。

https://www.ibm.com/jp-ja/privacy

脆弱性管理プロセス

新たな脆弱性はいつ発生しても不思議ではないため、セキュリティー・チームは脆弱性管理を個別のイベントではなく、継続的なライフサイクルとしてアプローチしています。このライフサイクルは、発見、分類と優先順位付け、解決、再評価、レポート作成という5つの継続的かつ重複するワークフローで構成されています。

1. 発見

発見ワークフローの中心は脆弱性評価です。このプロセスでは、組織のすべてのIT資産に既知および潜在的な脆弱性がないかを検査します。通常、セキュリティー・チームは、脆弱性スキャナー・ソフトウェアを使用してこのプロセスを自動化します。脆弱性スキャナーの中には、定期的なスケジュールで包括的なネットワーク・スキャンを実行するものもあれば、ノートPC、ルーター、およびその他のエンドポイントにインストールされたエージェントを使用して各デバイス上のデータを収集するものもあります。また、セキュリティー・チームは、ペネトレーション・テストなどの一時的な脆弱性評価を使用して、スキャナーが見逃す可能性のある脆弱性を特定することもあります。

2. 分類と優先順位付け

脆弱性が特定されると、脆弱性はタイプ別(デバイスの設定ミス、暗号化の問題、機密データの漏洩など)に分類され、重要度レベルに応じて優先順位が付けられます。重要度レベルは、各脆弱性の重大度、悪用される可能性、攻撃につながる可能性を推定したものです。

脆弱性管理ソリューションでは通常、サイバーセキュリティー業界のオープン・スタンダードであるCommon Vulnerability Scoring System(CVSS)などの脅威インテリジェンス・ソースを利用して、既知の脆弱性の重要度を0から10のスケールで評価します。その他によく使用されるインテリジェンス・ソースとして、MITREのCommon Vulnerabilities and Exposures(CVE)のリストと、NISTのNational Vulnerability Database(NVD)の2つがあります。

3. 解決

脆弱性に優先順位が付けられると、セキュリティー・チームは、以下の3つの方法のいずれかでそれらの脆弱性を解決できます。

  • 修復:ソフトウェアのバグを修正するパッチをインストールしたり、脆弱性のある資産を廃棄するなどして、脆弱性を悪用できないように全面的に対処します。多くの脆弱性管理プラットフォームでは、パッチの自動ダウンロードとテストのためのパッチ管理や、一元化されたダッシュボードやポータルからネットワークとデバイスの設定ミスに対処するための構成管理など、修復ツールが用意されています。
  • 軽減:脆弱性を完全に排除することなく、脆弱性の悪用を難しくしたり、悪用された場合の影響を軽減したりします。脆弱性のあるデバイスをオンラインにしたまま、他のネットワークからセグメント化することは、軽減の一例です。多くの場合、パッチやその他の修復手段が提供されていない場合に、軽減が実行されます。
  • 容認:脆弱性を未対処のままにします。重要度スコアが低い(悪用される可能性が低い、または重大な損害を引き起こす可能性が低い)脆弱性は、容認されることが多くあります。

4. 再評価

脆弱性が解決されると、通常、セキュリティー・チームは新たに脆弱性評価を行い、脆弱性の軽減や修復の取り組みが機能していること、および新しい脆弱性を引き起こしていないことを確認します。

5. レポート

脆弱性管理プラットフォームでは、通常、平均検出時間(MTTD)や平均応答時間(MTTR)などの指標についてレポートするためのダッシュボードが用意されています。また、多くのソリューションでは、特定された脆弱性のデータベースを保持しています。これにより、セキュリティー・チームは、特定された脆弱性の解決を追跡したり、過去の脆弱性管理の取り組みを監査したりすることができます。

これらのレポート機能により、セキュリティー・チームは、継続的な脆弱性管理活動のためのベースラインを確立し、プログラムのパフォーマンスを長期にわたって監視できます。また、レポートを使用して、セキュリティー・チームと、資産の管理を担当しているが脆弱性管理プロセスに直接関与していない他のITチームとの間で情報を共有することもできます。

リスクベースの脆弱性管理とは

リスクベースの脆弱性管理(RBVM)は、脆弱性への比較的新しいアプローチです。RVBMは、利害関係者固有の脆弱性データを人工知能および機械学習機能と組み合わせることで、3つの重要な方法で脆弱性管理を強化します。

より多くのコンテキストでより効果的な優先順位付けを実現。従来の脆弱性管理ソリューションでは、CVSSやNIST NVDなどの業界標準のリソースを使用して重要度を判断します。これらのリソースは、すべての組織で脆弱性の平均的な重要度を判断できる一般性を利用しています。しかし、利害関係者別の脆弱性データがないため、特定の企業での脆弱性の重要度の優先順位が過大評価または過小評価される危険性があります。

例えば、どのようなセキュリティー・チームでも、ネットワーク上のすべての脆弱性に対処する時間やリソースはないため、多くの場合、CVSSスコアが「高」(7.0-8.9)または「重大」(9.0-10.0)の脆弱性を優先します。しかし、機密情報の保管や処理を行わない資産、あるいはネットワークの高価値セグメントへの経路を提供していない資産に「重大」な脆弱性が存在する場合、それらの修復に無駄な時間が使われる可能性があります。

CVSSスコアの低い脆弱性であっても、ある組織にとっては他の組織よりも大きな脅威となることがあります。2014年に発見されたHeartbleedのバグは、CVSSスケールで「中」(5.0)と評価されました。それにもかかわらず、ハッカーはこの脆弱性を利用して大規模な攻撃を実行し、米国大手の病院チェーンの1つから450万人分の患者データを盗み出すという被害をもたらしました。

RBVMは、利害関係者固有の脆弱性データ(影響を受ける資産の数や重要度、資産が他の資産とどのように接続されているか、悪用された場合の損害の可能性など)と、サイバー犯罪者が現実世界でどのように脆弱性を利用しているかについてのデータによってスコアリングを補完しています。また、機械学習を使用して、各脆弱性が組織に及ぼすリスクをより正確に反映したリスク・スコアを策定します。これにより、ITセキュリティー・チームは、ネットワーク・セキュリティーを犠牲にすることなく、優先すべき重大な脆弱性の数を減らすことができます。

リアルタイムの発見。 RBVMでは、多くの場合、脆弱性スキャンを定期的なスケジュールではなくリアルタイムで実施します。さらに、RBVMソリューションでは、より広範な資産を監視することができます。通常、従来型の脆弱性スキャナーの対象はネットワークに直接接続された既知の資産に限定されていますが、RBVMツールでは、オンプレミスやリモート・モバイル・デバイス、クラウド資産、サードパーティー・アプリケーション、その他のリソースをスキャンできます。

自動再評価。RBVMプロセスでは、継続的な脆弱性スキャンによって自動的に再評価が行われる場合があります。従来型の脆弱性管理では、再評価を行うために意図的なネットワーク・スキャンやペネトレーション・テストが必要になることがあります。

脆弱性管理と攻撃対象領域管理

脆弱性管理は、攻撃対象領域管理(ASM)と密接に関連しています。ASMとは、組織の攻撃対象領域を構成する脆弱性と潜在的な攻撃ベクトルを継続的に発見、分析、修復、監視することです。ASMと脆弱性管理の主な違いは、その対象範囲です。どちらのプロセスも組織の資産の脆弱性を監視して解決しますが、ASMはネットワーク・セキュリティーに対してより包括的なアプローチを取ります。

ASMソリューションには、ネットワークに接続されているすべての既知の資産、未知の資産、サードパーティーの資産、従属的な資産、悪意のある資産を識別および監視する資産検出機能が含まれています。また、ASMはIT資産のみにとどまらず、組織の物理的およびソーシャル・エンジニアリングの攻撃対象領域にある脆弱性も特定します。次に、ハッカーの視点からこれらの資産と脆弱性を分析し、サイバー犯罪者がネットワークに侵入するためにそれらをどのように利用するかを理解します。

リスクベースの脆弱性管理(RBVM)の増加に伴って、脆弱性管理とASMの境界線はますます曖昧になっています。ASMでは、脆弱性管理のみの場合よりも包括的に攻撃対象領域を把握できるため、組織は、RBVMソリューションの一部としてASMプラットフォームを導入することがよくあります。

参考情報

IBM® X-Force®脅威インテリジェンス・インデックス2025

IBM X-Force Threat Intelligence Indexを使用することで、より迅速かつ効果的にサイバー攻撃に備え、対応するためのインサイトを得ることができます。
IDC MarketScape:サイバーセキュリティー・アセスメント・コンサルティング・サービス・ベンダー評価2025

IBMが主要プレイヤーに選ばれた理由をご覧になり、組織のニーズに最適なサイバーセキュリティー・コンサルティング・サービス・ベンダーを選択するための洞察を得ることができます。
生成AIの時代のサイバーセキュリティー

今日のセキュリティー環境がどのように変化しているか、また、課題を乗り越えて生成AIのレジリエンスを活用する方法について学びます。
IBM® X-Force®クラウド脅威状況レポート2024年版

IBM X-Forceクラウド脅威状況レポートで、最新の脅威を把握しクラウド防御を強化しましょう。
データ・セキュリティーとは

データ・セキュリティーが、デジタル情報をそのライフサイクル全体を通して、不正アクセス、破損、盗難から保護する方法をご覧ください。
サイバー攻撃とは

サイバー攻撃とは、不正アクセスを通じて、データ、アプリケーション、またはその他の資産を盗難、漏えい、変更、無効化、または破壊するための意図的な取り組みです。
セキュリティー・インテリジェンスに関するブログ

セキュリティーに関する最新のトレンドやニュースをお届けします。
関連ソリューション
エンタープライズ・セキュリティー・ソリューション

世界有数の企業向けセキュリティー・プロバイダーが提供するソリューションで、セキュリティー・プログラムを変革します。

 サイバーセキュリティー・ソリューションの詳細
サイバーセキュリティー・コンサルティング・サービス

サイバーセキュリティー・コンサルティングやクラウド、マネージド・セキュリティー・サービスでビジネスを変革し、リスクを管理しましょう。

         サイバーセキュリティー・サービスはこちら
    サイバーセキュリティーのための人工知能(AI)| IBM

    AIを活用したサイバーセキュリティー・ソリューションで、セキュリティー・チームの俊敏性、精度、生産性を向上させます。

         AIを活用したサイバーセキュリティーの詳細はこちら
    次のステップ

    データ・セキュリティー、エンドポイント管理、IDおよびアクセス管理(IAM)ソリューションのいずれが必要であっても、IBMのエキスパートはお客様と協力して、高度なセキュリティー体制を実現します。サイバーセキュリティー・コンサルティング、クラウド・セキュリティー・サービス、マネージド・セキュリティー・サービスなど、業界の世界的リーダーとして、事業の変革とリスク管理を支援します。

         サイバーセキュリティー・ソリューションの詳細 サイバーセキュリティー・サービスを発見する