防御と運用
脆弱性評価
別称: VA
定義
通常は実際の悪用を伴わずに、環境内のセキュリティ上の弱点を体系的に特定・分類・優先順位付けする調査。
脆弱性評価は、自動化ツールとアナリストによる確認を組み合わせ、ネットワーク・ホスト・アプリケーション・クラウドサービスにおける設定不備・未適用パッチ・脆弱な認証情報・設計上の欠陥を網羅的に洗い出す活動です。発見事項は検証され、CVSS や EPSS などの指標で評価したうえで、業務上の重要度や資産の重要性に応じて優先順位付けされます。ペネトレーションテストとは異なり、目的は実際の悪用による影響の証明ではなく、網羅性と正確な棚卸しです。結果は是正バックログ、リスクレジスタ、コンプライアンス報告に反映され、継続的な脆弱性管理プログラムの基盤となります。
例
- IT 運用向けに優先順位付けされた是正バックログを生成する四半期の内部脆弱性評価。
- 新規 SaaS テナントの導入前に CIS ベンチマークに照らして実施する評価。
関連用語
脆弱性スキャン
既知の脆弱性シグネチャに照らしてシステム・アプリケーション・コンテナを自動的に検査し、潜在的な弱点の一覧を生成するプロセス。
ペネトレーションテスト
システム・アプリケーション・人を対象に、実際の攻撃者より先に悪用可能な弱点を発見するために行う、認可された模擬サイバー攻撃。
パッチ管理
脆弱性や不具合を修正するソフトウェア更新を、識別・検証・適用・確認するエンドツーエンドのプロセス。
CVSS(共通脆弱性評価システム)
FIRST が維持するオープンなフレームワークで、脆弱性の悪用特性と影響に基づき 0〜10 の深刻度スコアを算出する。
アタックサーフェスマネジメント(ASM)
組織をサイバー攻撃にさらすあらゆる資産を継続的に発見・棚卸し・分類・監視する取り組み。
Security Posture
Security Posture — definition coming soon.