リサーチ 2026年2月24日 20分で読める

脆弱性管理:完全ガイド

24時間ごとに約80件の新しいCVEが公開されています。脆弱性を発見、優先順位付け、修正する体系的なアプローチがなければ、ビジネスでロシアンルーレットをしているようなものです。侵害の60%は既知の未パッチ脆弱性に関係しています。

80+
毎日の新CVE
60%
既知CVEからの侵害
$4.88M
平均侵害コスト
15日
平均悪用時間

脆弱性管理とは?

ℹ️ 定義

脆弱性管理とは、組織のIT資産全体でセキュリティ脆弱性を識別、評価、優先順位付け、修復、検証する継続的で体系的なプロセスです。一度限りのスキャンではなく、時間をかけて組織リスクを低減する継続的なプログラムです。

脆弱性は複数のカテゴリーにわたります:

評価 vs 管理

脆弱性評価は何が問題かを教えてくれます(ポイントインタイム)。脆弱性管理は修正されることを確実にし、修正された状態を維持します(優先順位付け、追跡、検証、改善を伴う継続的なプログラム)。


なぜ脆弱性管理が重要なのか

⚠️ ビジネスリスク

規制罰金:NIS2は脆弱性管理を義務付けています — 最大€10Mまたは売上高の2%。侵害責任:GDPRは「適切な技術的措置」を要求します。ランサムウェア:WannaCry、Log4Shell、MOVEit — すべて既知のパッチ可能な欠陥を悪用しました。保険:サイバー保険会社はパッチ管理を監査し、保険料を調整するか請求を拒否します。


脆弱性管理ライフサイクル

5段階の継続サイクル

フェーズ1:発見

知らないものは保護できません。すべてのIT資産の最新インベントリを維持し、継続的にスキャンします。主要メトリクス:資産カバレッジ、スキャン頻度、最終スキャンからの時間。

フェーズ2:優先順位付け

すべての脆弱性が等しいわけではありません。クリティカルなCVSSスコアが自動的にクリティカルなリスクを意味するわけではありません。悪用可能性、資産重要度、露出、補完的コントロール、ビジネスコンテキストを考慮します。

フェーズ3:修復

オプションには、パッチ適用、設定変更、補完的コントロール(WAF、仮想パッチ)、正式なリスク受容、またはシステム廃止が含まれます。

フェーズ4:検証

⚠️ 検証をスキップしない

実際には修正されなかった「パッチ済み」脆弱性は誤った安心感を提供します。修復後は常に再スキャン、回帰テスト、設定変更の検証を行います。

フェーズ5:報告と改善

複数のオーディエンスに対応:セキュリティチーム(戦術的ダッシュボード)、IT管理(戦略レポート)、経営陣(ビジネスリスク)、監査人(コンプライアンス証拠)。


リスクベース脆弱性管理

⚠️ CVSSのみの優先順位付けは機能しない

ボリューム:数万のクリティカル/高所見 — すべてを修正できません。誤った緊急性:多くのクリティカルCVEは決して悪用されません。コンテキストの欠如:決済システムの中程度の脆弱性は、孤立した開発サーバーのクリティカルよりも高リスクかもしれません。

リスク = 脅威 × 脆弱性 × 影響

リスクベース脆弱性管理(RBVM)は、脆弱性の深刻度と脅威インテリジェンス(悪用されているか?)、資産重要度(どれだけ重要か?)、露出(インターネットに面しているか?)を組み合わせます。これにより実行可能なバックログを80〜90%削減します。


CVSS vs EPSS:現代の優先順位付け

側面CVSSEPSS
測定対象脆弱性の深刻度(0〜10)悪用確率(0〜100%)
更新ほぼ静的毎日
焦点何が起こり得るか何が起こるか
制限クリティカルの約15%のみが悪用される資産コンテキストを考慮しない

両方を一緒に使用

高CVSS + 高EPSS → クリティカル、即座の修復。高CVSS + 低EPSS → 標準SLA内でスケジュール。低CVSS + 高EPSS → エスカレート、調査(過小評価されている可能性)。低CVSS + 低EPSS → 通常のメンテナンスで対処。


脆弱性管理ツール

スキャナーカテゴリー

適切なツールの選択

主要評価基準

KENSAIを無料で試す

攻撃者より先に脆弱性を発見します。リスクベースの優先順位付けを備えたAI駆動スキャン。

無料スキャンを開始 →

コンプライアンス統合

フレームワーク脆弱性管理要件罰則
NIS2第21条:最小限の措置として「脆弱性処理と開示」最大€10M / 売上高の2%
DORAICTリスク管理、定期的な脆弱性評価セクター固有の執行
GDPR第32条:「適切な技術的措置」最大€20M / 売上高の4%
ISO 27001A.8.8:技術的脆弱性の管理認証リスク
PCI DSS 4.0四半期ごとの外部ASVスキャン、内部スキャン、年次ペンテストPCI非準拠罰金

脆弱性管理プログラムの構築

修復SLA(例)

リスクレベルインターネット向け内部クリティカル内部標準
クリティカル24時間72時間7日
7日14日30日
30日60日90日
90日180日次回メンテナンス

追跡すべき主要メトリクス


KENSAIが脆弱性管理を自動化する方法

継続的発見

KENSAIは継続的に更新される332,000以上のCVEのデータベースでウェブアプリケーション、API、インフラストラクチャをスキャンします。攻撃面全体で既知の脆弱性と設定ミスの両方を識別します。

AI駆動の優先順位付け

CVSSを超えて:アクティブな脅威インテリジェンスとクロスリファレンス、実世界の悪用データを考慮、インテリジェント分析による誤検知削減、リスクベースの優先順位付けを提供し、重要なことに集中できます。

自動コンプライアンスレポート

すべてのスキャンはNIS2GDPRDORAISO 27001に準拠したレポートを生成します — 監査人と規制当局のための文書化された脆弱性処理と開示証拠。

修復ガイダンス

すべての所見に対する実行可能な修正推奨事項。脆弱性を閉じるために必要な時間と専門知識を削減します。

価格

プロフェッショナル:€990/月 — 成長企業に最適。エンタープライズ:€2,490/月 — 高度な機能とより高いスキャンボリューム。


FAQ

脆弱性管理とは何ですか?

セキュリティ脆弱性を識別、評価、優先順位付け、修復、検証する継続的なプロセスです。一度限りの評価とは異なり、構造化された発見、リスクベースの優先順位付け、定義されたSLAでの追跡された修復を伴う継続的なプログラムです。

リスクベース脆弱性管理とは何ですか?

RBVMはCVSS深刻度だけでなく、実際のリスク(脅威インテリジェンス + 資産重要度 + 露出)で優先順位を付けます。実行可能なバックログを80〜90%削減し、真に危険な脆弱性にリソースを集中します。

CVSSとEPSSの違いは何ですか?

CVSSは深刻度を評価します(静的、0〜10)。EPSSは悪用確率を予測します(動的、毎日更新)。一緒に使用すると、優れた優先順位付けのために深刻度コンテキストと悪用可能性の両方を提供します。

脆弱性スキャンはどのくらいの頻度で実行すべきですか?

クリティカル/インターネット向け:少なくとも週1回(毎日または継続的が望ましい)。内部:月1回最低。重要な変更後:常に。トレンドは継続的スキャンです。

脆弱性管理はNIS2コンプライアンスをどのようにサポートしますか?

NIS2第21条は明示的に「脆弱性処理と開示」を要求します。準拠プログラムは、体系的な発見、リスクベースの優先順位付け、定義されたSLA、検証、継続的監視、文書化されたプロセスを実証する必要があります。

最も重要なメトリクスは何ですか?

クリティカル/高リスク脆弱性のMTTR — 最も危険な露出ウィンドウをどれだけ早く閉じるかを直接測定します。

KENSAIを無料で試す

脆弱性管理を管理します。AI駆動の発見、優先順位付け、コンプライアンスレポート。

無料スキャンを開始 →

セキュリティはオプションではありません。

🗡️ KENSAIチーム

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home

📚 Related Articles

🛡️ Is your website secure?

Discover vulnerabilities before attackers do.

Scan your website for free →