脆弱性管理
脆弱性管理の重要性
脆弱性(Vulnerability)とは、ソフトウェアやシステムに存在するセキュリティ上の欠陥のことです。攻撃者はこの脆弱性を悪用して侵入や攻撃を行います。ひとり情シスにとって、自社システムの脆弱性を把握し適切にパッチを適用する脆弱性管理は最重要業務のひとつです。
CVEとCVSS
脆弱性を管理するための国際的な標準を理解しましょう。
- CVE(Common Vulnerabilities and Exposures):脆弱性に割り当てられる一意の識別番号。例:CVE-2024-XXXXX
- CVSS(Common Vulnerability Scoring System):脆弱性の深刻度を0.0〜10.0のスコアで評価
| CVSSスコア | 深刻度 | 対応目安 |
|---|---|---|
| 9.0〜10.0 | 緊急(Critical) | 直ちに対応(24時間以内) |
| 7.0〜8.9 | 重要(High) | 速やかに対応(1週間以内) |
| 4.0〜6.9 | 警告(Medium) | 計画的に対応(1ヶ月以内) |
| 0.1〜3.9 | 注意(Low) | 次回メンテナンス時に対応 |
パッチ管理の実践
脆弱性を修正するためのアップデート(パッチ)を適切に管理するプロセスです。
- 情報収集:JVN(Japan Vulnerability Notes)やベンダーの通知を定期的にチェック
- 影響評価:自社環境に該当する脆弱性かを確認
- テスト:可能であればテスト環境でパッチ適用後の動作を確認
- 適用:メンテナンスウィンドウを設定し本番環境に適用
- 確認:適用後の動作確認と記録
Windows UpdateとWSUS
Windows環境のパッチ管理で重要な仕組みです。
- Windows Update:各PCが直接Microsoftからアップデートを取得。小規模環境向け
- WSUS(Windows Server Update Services):社内サーバーでアップデートを集中管理。帯域節約と適用状況の把握が可能
- Microsoft Intune:クラウドベースの管理。リモートワーク環境にも対応
小規模企業では Windows Update をGPOで制御するだけでも十分です。重要なのは「更新を延期しすぎないこと」です。特にセキュリティ更新プログラムはリリース後速やかに適用しましょう。
脆弱性スキャン
自社環境の脆弱性を能動的に発見するために、脆弱性スキャンの実施が有効です。
- ネットワークスキャン:不要なポートの開放や古いサービスの稼働を検出
- Webアプリスキャン:SQLインジェクションやXSSなどの脆弱性を検出
- 無料ツール:Nmap(ポートスキャン)、OpenVAS(脆弱性スキャナ)など
最低でも四半期に1回はスキャンを実施し、発見された脆弱性を優先度に応じて対処しましょう。
✅ 完了済み