脆弱性管理とは

/セキュリティ

脆弱性管理

脆弱性管理とは、情報システムの設定ミスとセキュリティ脆弱性を可視化および対処するためのプロセスやツールを指します。流れとしては、脆弱性情報を収集し、影響範囲の特定と緊急性を判断し、対応するという作業になります。

脆弱性管理には以下のような項目が含まれます。

  • リスク分析
  • 脆弱性診断
  • パッチ管理
「セキュリティ担当者のための脆弱性対応ガイド」などを公開:IPA 独立行政法人 情報処理推進機構
情報セキュリティ関連情報のユーザー、管理者、技術者に向けた発信、その前提となる情報収集、調査分析、研究開発、技術評価等の実施

リスク分析

リスク分析は、大きくベースライン法と脅威分析法に分かれます。

  • ベースライン法
    チェックリストを基に適合状況を確認し、適合していない項目を脆弱性と考える。チェックリストには、ISMS(情報セキュリティマネジメントシステム)やサイバーセキュリティ経営ガイドラインなどが利用される。
  • 脅威分析法
    対象のシステムに対し、それにより実現されている事業の重要度(被害レベル)・脅威・脆弱性の評価指標のによりリスク分析を行う。
セキュリティリスク分析とは
対象システムの資産の重要度・事業被害・脅威・脆弱性をもとに算定、リスク分析の種類、制御システムのセキュリティリスク分析ガイド

脆弱性診断

脆弱性診断とは、OSやアプリケーションの既知の脆弱性に対する診断で、市販ツールなどが利用されます。診断対象はサーバやネット機器などですが、ブラックボックスとして扱います。

Webアプリケーションの脆弱性
SQLインジェクション、OSコマンド・インジェクション、クロスサイト・スクリプティング、クロスサイト・リクエスト・フォージェリ

パッチ管理

パッチ管理とは、ソフトウェアベンダーから提供される修正プログラム(パッチ)を適用することで、全てのソフトウェアを最新のバージョンに保つための一連の作業です。

製品ベンダーなどから出されるアップデート情報を定期的に確認し、具体的な対処方法を設定し、システムが脆弱性を突いた攻撃を受ける前に、リスクを許容レベルまで極小化することが重要です。

パッチ管理のポイントは、脆弱性情報を収集し、緊急性の判断を行い、適用した後は、脆弱性に対応できていることを確認することです。

脆弱性情報を収集

脆弱性情報の収集先として、製品ベンダのホームページやIPA(JVN iPedia)、JPCERT/CCなどの公的機関からの情報が活用できます。IPAのサイトでは、データベース登録された脆弱性情報をWebから検索可能です。

JVN iPedia
JVN iPedia
JPCERT コーディネーションセンター 脆弱性対策情報
緊急性の判断

脆弱性の緊急性判断には、CVSS(Common Vulnerability Scoring System) が用いられます。CVSSとは、脆弱性に対するオープンで汎用的な指標で、緊急性の表現が標準化されています。

共通脆弱性評価システムCVSS概説:IPA 独立行政法人 情報処理推進機構
情報セキュリティ関連情報のユーザー、管理者、技術者に向けた発信、その前提となる情報収集、調査分析、研究開発、技術評価等の実施

CVSSは、1.0~10.0の数値で表され、7.0以上が緊急度「High」とされており、早急な対応が必要と考えられています。

 

IT
マネジメント、セキュリティ、ネットワーク、システム
散策路TOP
古典物理、量子力学、物性論、数学、応用数学、力学、電磁気学、相対論、熱・統計力学、解析学、代数学、幾何学、統計分析、情報

 

タイトルとURLをコピーしました