脆弱性管理とは何ですか？

システムやソフトウェアの脆弱性を継続的に発見・評価・修正・監視するプロセス。CVSSスコアやビジネス影響度をもとに優先順位をつけて対処する。

脆弱性管理のポイントは？

脆弱性スキャナーで定期的にシステムをスキャンして発見する。CVSSスコアとビジネス影響度で修正の優先順位をつける。パッチ適用、設定変更、緩和策の適用で脆弱性に対処する。継続的なプロセスとして発見→評価→修正→検証のサイクルを回す

【ぜいじゃくせいかんり】

💡 穴が空いてないか定期点検、見つけたら優先度をつけて塞ぐ

📌 このページのポイント

脆弱性管理のサイクル

ひよこ

脆弱性管理って、脆弱性を直すだけじゃないの？

ペンギン先生

直すだけじゃなく、発見・評価・修正・検証の4ステップを継続的に回すプロセス全体のことだよ。企業のシステムには常に新しい脆弱性が見つかるから、一度やって終わりではないんだ

ひよこ

全部の脆弱性をすぐ直すのは無理だよね？

ペンギン先生

そうなんだ。大きな企業だと何千もの脆弱性が見つかることがあるから、優先順位が超重要だよ。CVSSスコアの高さだけでなく、その脆弱性が実際に悪用されているか、対象システムの重要度はどうかを総合的に判断するんだ

ひよこ

どうやって脆弱性を見つけるのかな？

ペンギン先生

NessusやQualysなどの脆弱性スキャナーで定期的にスキャンするのが基本だよ。OSやミドルウェアのバージョン、設定の不備、既知の脆弱性を自動でチェックしてくれるんだ

ひよこ

最近のトレンドはあるのかな？

ペンギン先生

RBVM（リスクベースの脆弱性管理）が注目されているよ。CVSSスコアだけでなく、実際の攻撃で悪用されている脆弱性（KEV: Known Exploited Vulnerabilities）を優先的に修正する考え方で、CISAが公開しているKEVカタログが参考になるんだ

まとめ：ざっくりこれだけ覚えればOK！

「脆弱性管理」って出てきたら「システムの弱点を見つけて優先順位をつけて直すプロセス」と思えればだいたいOK！

📖 おまけ：英語の意味

「Vulnerability Management」＝脆弱性の管理

💬 脆弱性スキャンだけじゃなく、評価・修正・検証まで含めた継続的なプロセス全体を指すんだよ