毎日約80件の新しいCVEが公開されています。脆弱性の発見、優先順位付け、修正に対する体系的なアプローチがなければ、ビジネスでロシアンルーレットをしているようなものです。侵害の60%が既知の未パッチの脆弱性に関係しています。
脆弱性管理とは、組織のIT資産全体にわたるセキュリティ脆弱性を特定、評価、優先順位付け、修正、検証する継続的かつ体系的なプロセスです。一回限りのスキャンではなく、時間をかけて組織のリスクを低減する継続的なプログラムです。
脆弱性は複数のカテゴリにまたがります:
脆弱性アセスメントは何が問題かを教えてくれます(ポイントインタイム)。脆弱性管理はそれが修正され — 修正された状態を維持することを保証します(優先順位付け、追跡、検証、改善を伴う継続的プログラム)。
規制上の罰金:NIS2は脆弱性管理を義務付けており、最大1,000万ユーロまたは売上高の2%。侵害責任:GDPRは「適切な技術的措置」を要求。ランサムウェア:WannaCry、Log4Shell、MOVEit — すべて既知のパッチ適用可能な欠陥を悪用。保険:サイバー保険会社はパッチ管理を監査し、保険料を調整したり請求を拒否します。
知らないものは守れません。すべてのIT資産の最新インベントリを維持し、継続的にスキャンしてください。主要指標:資産カバレッジ、スキャン頻度、最終スキャンからの経過時間。
すべての脆弱性が同等ではありません。CVSSの緊急スコアが自動的に緊急リスクを意味するわけではありません。悪用可能性、資産の重要度、露出度、補償コントロール、ビジネスコンテキストを考慮してください。
選択肢には、パッチ適用、設定変更、補償コントロール(WAF、仮想パッチ)、正式なリスク受容、またはシステム廃止が含まれます。
実際には修正されていない「パッチ済み」の脆弱性は、誤った安心感を与えます。修正後は必ず再スキャン、回帰テスト、設定変更の検証を行ってください。
複数の対象に提供:セキュリティチーム(戦術ダッシュボード)、IT管理(戦略レポート)、経営陣(ビジネスリスク)、監査人(コンプライアンス証跡)。
量:数万件の緊急/高の検出結果 — すべてを修正することは不可能。偽の緊急性:多くの緊急CVEは実際には悪用されません。コンテキストの欠如:決済システムの中程度の脆弱性は、隔離された開発サーバーの緊急脆弱性よりもリスクが高い場合があります。
リスクベースの脆弱性管理(RBVM)は、脆弱性の深刻度と脅威インテリジェンス(悪用されているか?)、資産の重要度(どれほど重要か?)、露出度(インターネットに面しているか?)を組み合わせます。これにより対応可能なバックログが80〜90%削減されます。
| 側面 | CVSS | EPSS |
|---|---|---|
| 測定対象 | 脆弱性の深刻度(0〜10) | 悪用確率(0〜100%) |
| 更新 | ほぼ静的 | 日次 |
| 焦点 | 何が起こりうるか | 何が起こるか |
| 制限 | 緊急の約15%のみが悪用される | 資産コンテキストを考慮しない |
高CVSS + 高EPSS → 緊急、即時修正。高CVSS + 低EPSS → 標準SLA内でスケジュール。低CVSS + 高EPSS → 優先度引き上げ、調査(過小評価の可能性)。低CVSS + 低EPSS → 定期メンテナンスで対応。
| フレームワーク | 脆弱性管理の要件 | 罰則 |
|---|---|---|
| NIS2 | 第21条:最低措置としての「脆弱性の取り扱いと開示」 | 最大1,000万ユーロ / 売上高の2% |
| DORA | ICTリスク管理、定期的な脆弱性評価 | セクター固有の施行 |
| DSGVO/GDPR | 第32条:「適切な技術的措置」 | 最大2,000万ユーロ / 売上高の4% |
| ISO 27001 | A.8.8:技術的脆弱性の管理 | 認証リスク |
| PCI DSS 4.0 | 四半期ごとの外部ASVスキャン、内部スキャン、年次ペネトレーションテスト | PCIコンプライアンス違反の罰金 |
| リスクレベル | インターネット公開 | 内部重要 | 内部標準 |
|---|---|---|---|
| 緊急 | 24時間 | 72時間 | 7日 |
| 高 | 7日 | 14日 | 30日 |
| 中 | 30日 | 60日 | 90日 |
| 低 | 90日 | 180日 | 次回メンテナンス |
KENSAIは332,000件以上のCVEを継続的に更新するデータベースで、Webアプリケーション、API、インフラをスキャンします。攻撃面全体にわたって既知の脆弱性と設定ミスの両方を特定します。
CVSSを超えて:活発な脅威インテリジェンスを相互参照し、実世界の悪用データを考慮し、インテリジェントな分析で偽陽性を削減し、重要なことに集中できるリスクベースの優先順位付けを提供します。
すべてのスキャンでNIS2、DSGVO/GDPR、DORA、ISO 27001に準拠したレポートを生成 — 監査人と規制当局向けの脆弱性の取り扱いと開示の文書化された証跡。
すべての検出結果に対する実用的な修正の推奨事項。脆弱性をクローズするために必要な時間と専門知識を削減します。
Professional:月額€990 — 成長中のビジネスに最適。Enterprise:月額€2,490 — 高度な機能とより多くのスキャンボリューム。
セキュリティ脆弱性を特定、評価、優先順位付け、修正、検証する継続的なプロセスです。一回限りのアセスメントとは異なり、体系的な発見、リスクベースの優先順位付け、定義されたSLAに基づく追跡された修正を伴う継続的プログラムです。
RBVMは、CVSSの深刻度だけでなく、実際のリスク(脅威インテリジェンス + 資産の重要度 + 露出度)で優先順位を付けます。対応可能なバックログを80〜90%削減し、真に危険な脆弱性にリソースを集中させます。
CVSSは深刻度を評価します(静的、0〜10)。EPSSは悪用確率を予測します(動的、日次更新)。併用することで、優れた優先順位付けのための深刻度コンテキストと悪用可能性の両方が得られます。
緊急/インターネット公開:少なくとも週次(日次または継続的が望ましい)。内部:最低月次。重大な変更後:常に。トレンドは継続的スキャンです。
NIS2第21条は「脆弱性の取り扱いと開示」を明示的に要求しています。準拠したプログラムは、体系的な発見、リスクベースの優先順位付け、定義されたSLA、検証、継続的な監視、文書化されたプロセスを実証する必要があります。
緊急/高リスク脆弱性のMTTR — 最も危険な露出ウィンドウをどれだけ迅速にクローズしているかを直接測定します。
セキュリティは選択肢ではありません。
🗡️ KENSAIチーム
Get a free security scan of your website in 60 seconds
Free Security Scan →