24時間ごとに約80件の新しいCVEが公開されています。脆弱性を発見、優先順位付け、修正する体系的なアプローチがなければ、ビジネスでロシアンルーレットをしているようなものです。侵害の60%は既知の未パッチ脆弱性に関係しています。
脆弱性管理とは、組織のIT資産全体でセキュリティ脆弱性を識別、評価、優先順位付け、修復、検証する継続的で体系的なプロセスです。一度限りのスキャンではなく、時間をかけて組織リスクを低減する継続的なプログラムです。
脆弱性は複数のカテゴリーにわたります:
脆弱性評価は何が問題かを教えてくれます(ポイントインタイム)。脆弱性管理は修正されることを確実にし、修正された状態を維持します(優先順位付け、追跡、検証、改善を伴う継続的なプログラム)。
規制罰金:NIS2は脆弱性管理を義務付けています — 最大€10Mまたは売上高の2%。侵害責任:GDPRは「適切な技術的措置」を要求します。ランサムウェア:WannaCry、Log4Shell、MOVEit — すべて既知のパッチ可能な欠陥を悪用しました。保険:サイバー保険会社はパッチ管理を監査し、保険料を調整するか請求を拒否します。
知らないものは保護できません。すべてのIT資産の最新インベントリを維持し、継続的にスキャンします。主要メトリクス:資産カバレッジ、スキャン頻度、最終スキャンからの時間。
すべての脆弱性が等しいわけではありません。クリティカルなCVSSスコアが自動的にクリティカルなリスクを意味するわけではありません。悪用可能性、資産重要度、露出、補完的コントロール、ビジネスコンテキストを考慮します。
オプションには、パッチ適用、設定変更、補完的コントロール(WAF、仮想パッチ)、正式なリスク受容、またはシステム廃止が含まれます。
実際には修正されなかった「パッチ済み」脆弱性は誤った安心感を提供します。修復後は常に再スキャン、回帰テスト、設定変更の検証を行います。
複数のオーディエンスに対応:セキュリティチーム(戦術的ダッシュボード)、IT管理(戦略レポート)、経営陣(ビジネスリスク)、監査人(コンプライアンス証拠)。
ボリューム:数万のクリティカル/高所見 — すべてを修正できません。誤った緊急性:多くのクリティカルCVEは決して悪用されません。コンテキストの欠如:決済システムの中程度の脆弱性は、孤立した開発サーバーのクリティカルよりも高リスクかもしれません。
リスクベース脆弱性管理(RBVM)は、脆弱性の深刻度と脅威インテリジェンス(悪用されているか?)、資産重要度(どれだけ重要か?)、露出(インターネットに面しているか?)を組み合わせます。これにより実行可能なバックログを80〜90%削減します。
| 側面 | CVSS | EPSS |
|---|---|---|
| 測定対象 | 脆弱性の深刻度(0〜10) | 悪用確率(0〜100%) |
| 更新 | ほぼ静的 | 毎日 |
| 焦点 | 何が起こり得るか | 何が起こるか |
| 制限 | クリティカルの約15%のみが悪用される | 資産コンテキストを考慮しない |
高CVSS + 高EPSS → クリティカル、即座の修復。高CVSS + 低EPSS → 標準SLA内でスケジュール。低CVSS + 高EPSS → エスカレート、調査(過小評価されている可能性)。低CVSS + 低EPSS → 通常のメンテナンスで対処。
| フレームワーク | 脆弱性管理要件 | 罰則 |
|---|---|---|
| NIS2 | 第21条:最小限の措置として「脆弱性処理と開示」 | 最大€10M / 売上高の2% |
| DORA | ICTリスク管理、定期的な脆弱性評価 | セクター固有の執行 |
| GDPR | 第32条:「適切な技術的措置」 | 最大€20M / 売上高の4% |
| ISO 27001 | A.8.8:技術的脆弱性の管理 | 認証リスク |
| PCI DSS 4.0 | 四半期ごとの外部ASVスキャン、内部スキャン、年次ペンテスト | PCI非準拠罰金 |
| リスクレベル | インターネット向け | 内部クリティカル | 内部標準 |
|---|---|---|---|
| クリティカル | 24時間 | 72時間 | 7日 |
| 高 | 7日 | 14日 | 30日 |
| 中 | 30日 | 60日 | 90日 |
| 低 | 90日 | 180日 | 次回メンテナンス |
KENSAIは継続的に更新される332,000以上のCVEのデータベースでウェブアプリケーション、API、インフラストラクチャをスキャンします。攻撃面全体で既知の脆弱性と設定ミスの両方を識別します。
CVSSを超えて:アクティブな脅威インテリジェンスとクロスリファレンス、実世界の悪用データを考慮、インテリジェント分析による誤検知削減、リスクベースの優先順位付けを提供し、重要なことに集中できます。
すべてのスキャンはNIS2、GDPR、DORA、ISO 27001に準拠したレポートを生成します — 監査人と規制当局のための文書化された脆弱性処理と開示証拠。
すべての所見に対する実行可能な修正推奨事項。脆弱性を閉じるために必要な時間と専門知識を削減します。
プロフェッショナル:€990/月 — 成長企業に最適。エンタープライズ:€2,490/月 — 高度な機能とより高いスキャンボリューム。
セキュリティ脆弱性を識別、評価、優先順位付け、修復、検証する継続的なプロセスです。一度限りの評価とは異なり、構造化された発見、リスクベースの優先順位付け、定義されたSLAでの追跡された修復を伴う継続的なプログラムです。
RBVMはCVSS深刻度だけでなく、実際のリスク(脅威インテリジェンス + 資産重要度 + 露出)で優先順位を付けます。実行可能なバックログを80〜90%削減し、真に危険な脆弱性にリソースを集中します。
CVSSは深刻度を評価します(静的、0〜10)。EPSSは悪用確率を予測します(動的、毎日更新)。一緒に使用すると、優れた優先順位付けのために深刻度コンテキストと悪用可能性の両方を提供します。
クリティカル/インターネット向け:少なくとも週1回(毎日または継続的が望ましい)。内部:月1回最低。重要な変更後:常に。トレンドは継続的スキャンです。
NIS2第21条は明示的に「脆弱性処理と開示」を要求します。準拠プログラムは、体系的な発見、リスクベースの優先順位付け、定義されたSLA、検証、継続的監視、文書化されたプロセスを実証する必要があります。
クリティカル/高リスク脆弱性のMTTR — 最も危険な露出ウィンドウをどれだけ早く閉じるかを直接測定します。
セキュリティはオプションではありません。
🗡️ KENSAIチーム
Get a free security scan of your website in 60 seconds
Free Security Scan →