防御と運用
パッチ管理
別称: アップデート管理
定義
脆弱性や不具合を修正するソフトウェア更新を、識別・検証・適用・確認するエンドツーエンドのプロセス。
パッチ管理は、脆弱性の公開から確認済みの修正までのライフサイクル全体をカバーし、OS・ファームウェア・アプリ・コンテナ・依存ライブラリにまたがります。成熟した運用では、悪用可能性データ(CVSS、EPSS、KEV)、業務上の重要度、補完統制をもとに優先度を決め、段階的なリング展開で運用リスクを抑えます。自動化、変更ウィンドウ、ロールバック計画、深刻度別の SLA は不可欠です。パッチ適用は機会主義型攻撃に対して最もレバレッジの高い統制であり、未修正のままインターネットに公開された資産は大規模な悪用キャンペーンの最大要因であり続けています。
例
- CISA の KEV に掲載されたリモートコード実行脆弱性に対する緊急の臨時パッチサイクル。
- Windows の月次パッチを「パイロット → 一般 → 本番」のリングで段階展開する運用。
関連用語
脆弱性スキャン
既知の脆弱性シグネチャに照らしてシステム・アプリケーション・コンテナを自動的に検査し、潜在的な弱点の一覧を生成するプロセス。
脆弱性評価
通常は実際の悪用を伴わずに、環境内のセキュリティ上の弱点を体系的に特定・分類・優先順位付けする調査。
構成管理
システムやアプリケーションのあるべき状態を定義・記録・強制し、構成を既知・一貫・安全に保つための運用規律。
変更管理
IT システムへの変更を、リスクを管理しつつ追跡可能な形で提案・審査・承認・計画・実施・事後レビューする体系的なプロセス。
Asset Management
Asset Management — definition coming soon.
Security Posture
Security Posture — definition coming soon.