リサーチ 2026年2月24日 20分で読めます

脆弱性管理:完全ガイド

毎日約80件の新しいCVEが公開されています。脆弱性の発見、優先順位付け、修正に対する体系的なアプローチがなければ、ビジネスでロシアンルーレットをしているようなものです。侵害の60%が既知の未パッチの脆弱性に関係しています。

80+
日次新規CVE
60%
既知CVEによる侵害
$4.88M
平均侵害コスト
15日
平均悪用までの時間

脆弱性管理とは

ℹ️ 定義

脆弱性管理とは、組織のIT資産全体にわたるセキュリティ脆弱性を特定、評価、優先順位付け、修正、検証する継続的かつ体系的なプロセスです。一回限りのスキャンではなく、時間をかけて組織のリスクを低減する継続的なプログラムです。

脆弱性は複数のカテゴリにまたがります:

アセスメント vs マネジメント

脆弱性アセスメントは何が問題かを教えてくれます(ポイントインタイム)。脆弱性管理はそれが修正され — 修正された状態を維持することを保証します(優先順位付け、追跡、検証、改善を伴う継続的プログラム)。


脆弱性管理が重要な理由

⚠️ ビジネスリスク

規制上の罰金:NIS2は脆弱性管理を義務付けており、最大1,000万ユーロまたは売上高の2%。侵害責任:GDPRは「適切な技術的措置」を要求。ランサムウェア:WannaCry、Log4Shell、MOVEit — すべて既知のパッチ適用可能な欠陥を悪用。保険:サイバー保険会社はパッチ管理を監査し、保険料を調整したり請求を拒否します。


脆弱性管理のライフサイクル

5フェーズの継続的サイクル

フェーズ1:発見

知らないものは守れません。すべてのIT資産の最新インベントリを維持し、継続的にスキャンしてください。主要指標:資産カバレッジ、スキャン頻度、最終スキャンからの経過時間。

フェーズ2:優先順位付け

すべての脆弱性が同等ではありません。CVSSの緊急スコアが自動的に緊急リスクを意味するわけではありません。悪用可能性、資産の重要度、露出度、補償コントロール、ビジネスコンテキストを考慮してください。

フェーズ3:修正

選択肢には、パッチ適用、設定変更、補償コントロール(WAF、仮想パッチ)、正式なリスク受容、またはシステム廃止が含まれます。

フェーズ4:検証

⚠️ 検証を省略しないでください

実際には修正されていない「パッチ済み」の脆弱性は、誤った安心感を与えます。修正後は必ず再スキャン、回帰テスト、設定変更の検証を行ってください。

フェーズ5:報告と改善

複数の対象に提供:セキュリティチーム(戦術ダッシュボード)、IT管理(戦略レポート)、経営陣(ビジネスリスク)、監査人(コンプライアンス証跡)。


リスクベースの脆弱性管理

⚠️ CVSSのみの優先順位付けは機能しません

量:数万件の緊急/高の検出結果 — すべてを修正することは不可能。偽の緊急性:多くの緊急CVEは実際には悪用されません。コンテキストの欠如:決済システムの中程度の脆弱性は、隔離された開発サーバーの緊急脆弱性よりもリスクが高い場合があります。

リスク = 脅威 × 脆弱性 × 影響

リスクベースの脆弱性管理(RBVM)は、脆弱性の深刻度と脅威インテリジェンス(悪用されているか?)、資産の重要度(どれほど重要か?)、露出度(インターネットに面しているか?)を組み合わせます。これにより対応可能なバックログが80〜90%削減されます。


CVSS vs EPSS:最新の優先順位付け

側面CVSSEPSS
測定対象脆弱性の深刻度(0〜10)悪用確率(0〜100%)
更新ほぼ静的日次
焦点何が起こりうる何が起こる
制限緊急の約15%のみが悪用される資産コンテキストを考慮しない

両方を併用

高CVSS + 高EPSS → 緊急、即時修正。高CVSS + 低EPSS → 標準SLA内でスケジュール。低CVSS + 高EPSS → 優先度引き上げ、調査(過小評価の可能性)。低CVSS + 低EPSS → 定期メンテナンスで対応。


脆弱性管理ツール

スキャナーのカテゴリ

適切なツールの選択

主要な評価基準

KENSAIを無料でお試しください

攻撃者より先に脆弱性を発見。リスクベースの優先順位付けを備えたAI駆動型スキャン。

無料スキャンを開始 →

コンプライアンスの統合

フレームワーク脆弱性管理の要件罰則
NIS2第21条:最低措置としての「脆弱性の取り扱いと開示」最大1,000万ユーロ / 売上高の2%
DORAICTリスク管理、定期的な脆弱性評価セクター固有の施行
DSGVO/GDPR第32条:「適切な技術的措置」最大2,000万ユーロ / 売上高の4%
ISO 27001A.8.8:技術的脆弱性の管理認証リスク
PCI DSS 4.0四半期ごとの外部ASVスキャン、内部スキャン、年次ペネトレーションテストPCIコンプライアンス違反の罰金

脆弱性管理プログラムの構築

修正SLA(例)

リスクレベルインターネット公開内部重要内部標準
緊急24時間72時間7日
7日14日30日
30日60日90日
90日180日次回メンテナンス

追跡すべき主要指標


KENSAIによる脆弱性管理の自動化

継続的な発見

KENSAIは332,000件以上のCVEを継続的に更新するデータベースで、Webアプリケーション、API、インフラをスキャンします。攻撃面全体にわたって既知の脆弱性と設定ミスの両方を特定します。

AI駆動型の優先順位付け

CVSSを超えて:活発な脅威インテリジェンスを相互参照し、実世界の悪用データを考慮し、インテリジェントな分析で偽陽性を削減し、重要なことに集中できるリスクベースの優先順位付けを提供します。

自動コンプライアンスレポート

すべてのスキャンでNIS2DSGVO/GDPRDORAISO 27001に準拠したレポートを生成 — 監査人と規制当局向けの脆弱性の取り扱いと開示の文書化された証跡。

修正ガイダンス

すべての検出結果に対する実用的な修正の推奨事項。脆弱性をクローズするために必要な時間と専門知識を削減します。

料金

Professional:月額€990 — 成長中のビジネスに最適。Enterprise:月額€2,490 — 高度な機能とより多くのスキャンボリューム。


よくある質問

脆弱性管理とは何ですか?

セキュリティ脆弱性を特定、評価、優先順位付け、修正、検証する継続的なプロセスです。一回限りのアセスメントとは異なり、体系的な発見、リスクベースの優先順位付け、定義されたSLAに基づく追跡された修正を伴う継続的プログラムです。

リスクベースの脆弱性管理とは何ですか?

RBVMは、CVSSの深刻度だけでなく、実際のリスク(脅威インテリジェンス + 資産の重要度 + 露出度)で優先順位を付けます。対応可能なバックログを80〜90%削減し、真に危険な脆弱性にリソースを集中させます。

CVSSとEPSSの違いは何ですか?

CVSSは深刻度を評価します(静的、0〜10)。EPSSは悪用確率を予測します(動的、日次更新)。併用することで、優れた優先順位付けのための深刻度コンテキストと悪用可能性の両方が得られます。

脆弱性スキャンはどのくらいの頻度で実行すべきですか?

緊急/インターネット公開:少なくとも週次(日次または継続的が望ましい)。内部:最低月次。重大な変更後:常に。トレンドは継続的スキャンです。

脆弱性管理はNIS2コンプライアンスをどのようにサポートしますか?

NIS2第21条は「脆弱性の取り扱いと開示」を明示的に要求しています。準拠したプログラムは、体系的な発見、リスクベースの優先順位付け、定義されたSLA、検証、継続的な監視、文書化されたプロセスを実証する必要があります。

最も重要な指標は何ですか?

緊急/高リスク脆弱性のMTTR — 最も危険な露出ウィンドウをどれだけ迅速にクローズしているかを直接測定します。

KENSAIを無料でお試しください

脆弱性管理をコントロールしましょう。AI駆動型の発見、優先順位付け、コンプライアンスレポート。

無料スキャンを開始 →

セキュリティは選択肢ではありません。

🗡️ KENSAIチーム

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home

📚 Related Articles

🛡️ Is your website secure?

Discover vulnerabilities before attackers do.

Scan your website for free →