脆弱性管理とは？脆弱性診断との違いや実行のプロセスを解説

脆弱性管理とは、システムやソフトウェアに発生するセキュリティの欠陥や脆弱性を特定・分析し、対応すべき方針を定め解決するまでの一連の流れを指します。

昨今急増するセキュリティホールを突いたサイバー攻撃から自社の情報を守るには、脆弱性管理が欠かせません。

脆弱性管理を適切に行わないと、一般的に知られている脆弱性が対処されずに放置された状態となり、サイバー攻撃を受けた際に重大なセキュリティインシデントに発展する可能性もあります。

セキュリティ強化が図れる脆弱性管理は、企業にとって欠かせない対策のひとつです。

本記事では、脆弱性管理の実行プロセスや脆弱性診断との違い、脆弱性管理によって得られるメリットを解説します。

脆弱性管理とは

脆弱性管理は、企業や組織のセキュリティ対策として重要なプロセスです。脆弱性診断と呼ばれる似たような言葉があるため、混同されることもあります。

脆弱性管理の定義と脆弱性診断との違いを把握したうえで、脆弱性管理を行いましょう。

脆弱性管理の定義

脆弱性管理とは、セキュリティの脅威となり得る弱点の情報を調査・収集し、取るべき対策を定めたうえで、弱点を解決する一連のプロセスです。

コンピュータシステムやソフトウェア、ネットワークに存在するセキュリティ上の欠陥や弱点を脆弱性と呼びます。

総務省によると、脆弱性とは「コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生するサイバーセキュリティ上の欠陥」と定義されています。

引用：脆弱性とは？│総務省

製品がリリースされたときには確認されていなかったバグや、セキュリティ上の不具合（セキュリティホール）も脆弱性の一種です。

脆弱性を放置するとセキュリティリスクが高まり、不正アクセスや情報漏洩などの被害をもたらすことがあります。絶えず脆弱性は発見されるため、脆弱性の対策は一度きりでは終了しません。

継続的な対応が求められる脆弱性管理には、管理体制の確立が重要です。また、定期的に脆弱性管理を行う計画作成も欠かせません。

脆弱性管理と脆弱性診断の違い

脆弱性管理は、脆弱性の情報収集から解消までの一連のプロセス全体を意味します。影響を及ぼしかねない脆弱性に常時対応し、セキュリティを維持することが目的です。

一方、脆弱性診断は、企業が導入しているシステムやソフトウェアで発見された脆弱性をツールを用いて診断する行為を指します。診断時のセキュリティ状態の確認のみに留まります。脆弱性診断は、脆弱性管理のプロセスの一部と考えられます。

脆弱性管理を行う目的

脆弱性管理の目的は、企業のシステム・ソフトウェアのセキュリティ対策です。

脆弱性管理をすることで、サイバー攻撃から企業の情報を守り、かつ攻撃を受けても被害を最小限に抑えられます。

ランサムウェアをはじめとするサイバー攻撃は、脆弱性を足掛かりに侵入を試みるケースが散見されます。

しかし、セキュリティ対策を十分に講じていない企業は少なくありません。例えば、弊社が独自にデータをまとめた「SaaS事業者のランサムウェア対策実態」では、以下のようなことが明らかになりました。

• 脆弱性対策：脆弱性診断やペネトレーションテストの実施は4割以下。サーバーへのウイルス対策ソフトは33.2％が未導入
• アクセス制御：38.1％がインフラやデータベース、IaaS等のアカウントについて、多要素認証等の認証方式を用いてアクセス制御できていない
• 不正アクセス監視：約3分の1が、攻撃者の侵入を検知するための適切な監視を実施できていない
• バックアップ対策：リストアテスト実施は半数以下、バックアップデータを論理的に分離した環境に保存しているのは18.6％

出典：【2023年セキュリティレポート Vol.1】SaaS事業者のランサムウェア対策実態│株式会社アシュアード

このような背景から、更なるセキュリティ対策が望まれています。セキュリティの脅威から企業を守り、安心安全のクラウド活用によって事業を営むためには、脆弱性管理が欠かせません。

脆弱性管理を実施する4つのメリット

脆弱性管理を実施すると、以下の4つのメリットが得られます。

1. 攻撃に対するセキュリティ強化
2. 情報の改ざんや搾取への対策
3. 潜み続ける脆弱性の検出と排除
4. セキュリティ対策の効率化

脆弱性管理をすることで、サイバー攻撃を受けても機密情報や個人情報など重要な情報を保護できる可能性が高まります。セキュリティ対策のためにも、これらのメリットを理解していきましょう。

1. 攻撃に対するセキュリティ強化

適切に脆弱性管理を行うことで、サイバー攻撃に対するセキュリティ強化が図れます。

脆弱性管理の実施サイクルを設定し、定期的にシステムやソフトウェアの脆弱性を解消することで、攻撃されにくい環境を構築するからです。

脆弱性を監視し、必要に応じて速やかに解決できる体制は、まだ露見していない脆弱性が攻撃対象となる前に特定できる仕組み作りにも貢献します。

潜在的な脆弱性を把握せず放置したままでは、サイバー攻撃を受けるリスクが高まります。

サイバー攻撃は、企業に多くの被害を与えている犯罪の手口の一種です。被害が深刻な場合は企業の信用が落ちたり、賠償問題に発展したりすることもあります。それゆえ、脆弱性管理によるセキュリティ強化ができることは大きなメリットです。

2. 情報の改ざんや搾取への対策

脆弱性管理を実施することで、第三者による不正アクセスが原因の情報の改ざんや搾取を防ぐことができます。

不正アクセスは、ネットワークのセキュリティの脆弱性を狙って行われます。対処せずに脆弱性を放置した場合、個人情報や契約情報など、企業の機密情報を搾取・改ざんされる恐れもあります。

また、企業担当者を装って顧客への連絡を取ったり、システムの不正操作をされたりするリスクもあります。

脆弱性管理を利用したセキュリティ対策により、機密情報や外部に出さない情報の書き換えや抜き取りを防止できます。

3. 潜み続ける脆弱性の検出と排除

ソフトウェアやシステムに潜み続ける脆弱性の検出と排除が可能です。

脆弱性に関する情報の調査や比較を徹底的に行い、脆弱性の有無を明らかにします。
脆弱性管理では、システムに用いられているOSやミドルウェア、ソフトウェアなどの情報を細かく確認します。確認する内容は以下のような項目が挙げられます。

• ネットワークが外部からアクセスできる状態に設定されていないか
• 使用中のシステムにおいて検出された脆弱性が及ぼす影響と深刻度のレベル

システムの構成要素の情報を調査し、公表されている脆弱性と比較すると、脆弱性の有無の洗い出しが可能です。

洗い出した結果をもとに、自社システムに潜む脆弱性を解消していくことで、脆弱性残存の最小化につながります。

4. セキュリティ対策の効率化

セキュリティ対策の効率化が図れるのもメリットです。適切な脆弱性管理を定期的に実施することで、セキュリティ対策のプロセスが体系化されます。

プロセスが体系化されることで、脆弱性管理にかかる工数も効率化され、セキュリティ担当者の時間や労力の削減が可能です。

例えば、自社で実施する脆弱性管理のプロセスが明確で、脆弱性が検出されたときの対応が定められている場合、セキュリティリスクに応じた適切な対応を円滑に進められます。

一方、脆弱性管理のプロセスが確立されておらず、かつ自社のシステム構成や脆弱性を把握していない場合、調査や対策、すべての工程で時間を要します。

日頃の脆弱性管理の積み重ねにより、セキュリティ対策の工数削減や、工程にかかる時間の短縮が可能です。

脆弱性管理を行う5つのプロセス

脆弱性管理には、以下の5つのプロセスがあります。

• IT資産管理（インベントリ）
• 脆弱性情報の収集
• 脆弱性のリスクの高低を判断
• 脆弱性の対処と解決
• 結果の再評価とレポート作成

セキュリティ強化やセキュリティ対策の効率化などの効果を得るためには、脆弱性管理プロセスの一つひとつの実践が必要です。

1. IT資産管理（インベントリ）

脆弱性管理のはじめのプロセスは、IT資産管理です。システムやIT資産、ソフトウェア資産を一元管理し可視化する取り組みで、インベントリ管理とも言われます。

脆弱性管理を進めるには、自社で使用しているソフトウェアやハードウェアの情報確認と把握が欠かせません。

具体的には、アプリケーションのバージョン情報やパッチの適用情報をはじめ、詳細な状況の洗い出しを行います。

また、個人情報のような機密性の高い情報の有無や、ソフトウェアをアップデートしたときにシステムへ与える影響の範囲などもあわせて確認します。

2. 脆弱性情報の収集

IT資産管理が完了したら、最新の脆弱性情報を網羅的に収集します。

脆弱性が確認されているソフトウェアやハードウェアの情報と、自社で収集した情報とを比較し、脆弱性を検出する手掛かりにします。

脆弱性の情報を収集するには、以下のようなサイトが役立ちます。

• 重要なセキュリティ情報（IPA）
  緊急度の高低に応じた脆弱性の情報を発信
• 注意喚起（JPCERT/CC）
  深刻度が高く、影響範囲が広い脆弱性情報を告知
• JVN iPedia（IPAとJPCERT/CCの共同管理）
  日本に関連する脆弱性情報をまとめたデータベース
• NVD（NIST）
  CVE番号が割り当てられた脆弱性情報のデータベース
• ベンダーのウェブサイト

3. 脆弱性のリスクの高低を判断

IT資産管理と脆弱性情報の収集から導き出された脆弱性を分析し、リスクの高低を判断します。

脆弱性管理を担う担当者の時間も有限のため、特定された脆弱性は重要度のレベルに応じた優先順位の設定が必要です。

重要度レベルとは、悪用される可能性や攻撃を受ける可能性を推定したものを指します。

重要度のレベルを測定するときは、脆弱性の重要度を「0から10」で評価するCVSS（Common Vulnerability Scoring System）を活用できます。

CVSSは脆弱性の技術的な深刻度を算出する仕組みです。起きうるセキュリティ脅威を評価するものではないため、注意が求められます。

CVSSの結果と自社の状況を比較し、円滑な業務が困難になるのか、情報漏洩の危険性があるのか、脆弱性のリスクの高低を判断します。

4. 脆弱性の対処と解決

脆弱性のリスクの高低を判断し、対応の優先順位を決めた後は、実際に脆弱性の対処を行います。

脆弱性の対処方法は、以下の3つがあります。

• 修復：脆弱性解決の最良の対処方法。プログラムを更新して脆弱性を完全に修正するか、パッチをインストールして修復する。
• 緩和：完全修復が困難な場合は緩和を選択し、脆弱性が悪用される可能性を下げる。悪用されても、その影響を最小限に留める。
• 受け入れ：脆弱性自体を受け入れ、修正せずに残す。

リスクが低いと判断できる脆弱性は、修正や緩和の方針が取られずに受け入れを選択するケースもあります。

5. 結果の再評価とレポート作成

脆弱性を対処し解決したら、一連のプロセスを記録し評価を行います。同時に、新規の脆弱性が発生していないことを確認し、今後の脆弱性管理に活用します。

脆弱性管理のプロセスを記録に残すことで、似たような脆弱性対策が必要になった際に過去の対策を活かすことが可能です。

また、資料として手元に残しておくと、セキュリティ担当者が不在でもセキュリティ対策を講じられます。後任者への情報共有や他業務担当者への説明用としても活用できます。

自社のIT資産管理や脆弱性情報の収集、脆弱性のリスクの高低を判断する作業は、膨大な情報を扱うため手作業では困難です。

人間の手では対応が難しいプロセスを任せられるオールインワン脆弱性管理クラウドが「yamory」です。

「yamory」では、脆弱性管理サービスにより、システムやソフトウェア資産の可視化から脆弱性の特定までを自動で行います。ご興味のある方は、こちらから3分で読める製品・サービス資料をダウンロードください。

【サービス資料ダウンロードはこちら】

自社で脆弱性管理を実施するときのポイント

自社で脆弱性管理を実施する際には、以下の2つのポイントがあります。

• 脆弱性管理やセキュリティの専門知識がある人材を配置
• 脆弱性管理を定期的かつ継続的に実施できる体制の確立

これらのポイントを押さえていないと、適切に脆弱性管理を実施できない場合があります。

脆弱性管理やセキュリティの専門知識がある人材を配置

脆弱性管理をスムーズに実施するためには、専門知識をもった人材の配置が欠かせません。

脆弱性管理は、セキュリティに関する広く深い知識が求められるためです。

IT資産管理や脆弱性のリスクを評価し、取るべき方針を決定し脆弱性を解決するには、一朝一夕の知識では対応が困難です。

脆弱性管理をはじめセキュリティ対策は、1人で対応するよりチームで行うほうが業務負担の観点からも適切です。

しかし、人的リソースや費用の問題があり、組織によってはチームを結成することが難しいかもしれません。

専門知識を有した人材の確保が難しいと判断した場合は、外部の専門業者に依頼すると解決できるでしょう。

脆弱性管理を定期的かつ継続的に実施できる体制の確立

脆弱性管理には、脆弱性管理を定期的かつ継続して実施できる体制が必要です。

脆弱性は一度解決しても、継続的にトラブルが発生しないとは限りません。日々新しい脆弱性が発見されるため、その都度対処が求められます。

また、一時的に詳しい人材を雇用しただけでは、万全なセキュリティ環境の構築は困難です。セキュリティ脅威は予期せず発生し、緊急の対応が求められる可能性もあります。加えて、脆弱性管理の実績を積み重ね、今後のセキュリティ対策に活かす作業もあります。

定期的・継続的に脆弱性管理を行うには、自社内で脆弱性管理を実施できる体制の確立が重要です。

脆弱性管理に関するQ＆A

ここでは脆弱性管理でよくある疑問・質問に回答します。

脆弱性管理のガイドラインとは何ですか

IPA（独立行政法人 情報処理推進機構）が発行する脆弱性管理のガイドラインです。インターネットやホームネットワークなどに接続する機器を開発する中小企業を対象にしています。

当該ガイドラインは、以下のポイントを目的に制作されています。

• 製品開発者がセキュリティ対策として実施すべき項目を把握できる
• 実施する対処を徐々にレベルアップできる
• 一般消費者に自組織の取り組み状況をアピールするため、すべきことを把握できる

引用：脆弱性対処に向けた製品開発者向けガイド│独立行政法人 情報処理推進機構

OSSのセキュリティ対策とはどういったものですか

OSS（オープンソースソフトウェア）のセキュリティ対策は、次のとおりです。

• どのようなOSSを使用しているか把握したうえで脆弱性管理を実施する
• OSSのバージョンアップ後には、セキュリティテストを実施する

サイバー攻撃に対するOSSのリスク管理には2つのセキュリティ対策が必要です。

いずれかを実行していない場合は、セキュリティ脅威に常に晒されているため、迅速な対応が求められます。

CVSSとは何ですか

CVSS（Common Vulnerability Scoring System）とは、ソフトウェアやシステムに存在する脆弱性の重要度を表す指標です。

算出された結果はCVSSスコアと呼ばれ、0から10の数値で示されます。さらに、数値の高低により、Low、Middle、High、Criticalの4つの深刻度に分類されます。

CVSSは、多くの脆弱性が検出されても、ロジカルな脆弱性重要度の算出が可能です。

この特性を利用し、脆弱性管理の対応順位決定に活用されるケースがあります。

ITシステムの脆弱性管理なら「yamory」にご相談を！

脆弱性管理は、サイバー攻撃に対するセキュリティ強化や情報の改ざん・搾取のリスク対策として有効です。企業の重要な資産を守る手段のひとつとして注目されています。

しかし、脆弱性管理を独力で対応するには、時間も手間もかかります。自社で使用しているソフトウェアやシステムなどのIT資産管理や、関連する脆弱性情報の収集は、手作業では対応が困難です。

「コストを要する・自社での対応はできない」と判断し、脆弱性管理を後回しにしてしまう方もいるかもしれません。

株式会社アシュアードが運営する、脆弱性管理クラウド「yamory」は、手動で対応が難しい脆弱性管理のプロセスを自動化し、実行できるクラウドサービスです。各ソフトウェアとシステムの構成をリスト化するSBOMにも対応しています。