Entry № 1351
脆弱性スキャン
脆弱性スキャン とは何ですか?
脆弱性スキャン既知の脆弱性シグネチャに照らしてシステム・アプリケーション・コンテナを自動的に検査し、潜在的な弱点の一覧を生成するプロセス。
脆弱性スキャンでは、Nessus、Qualys、Tenable、OpenVAS、クラウドネイティブスキャナなどのツールを用いて資産を識別し、検出したソフトウェア・設定・露出面を CVE/NVD などの脆弱性データベースや CIS、DISA STIG といったベンチマークと突き合わせます。スキャンは認証スキャン(認証情報を使い精度が高い)と非認証スキャン、エージェント方式とネットワーク方式があり、継続的またはスケジュールで実行できます。結果は誤検知の除外、悪用可能性や資産情報による文脈付け、そして是正への橋渡しを目的としたトリアージが必要です。スキャンは脆弱性管理プログラムの一入力に過ぎず、それ自体で悪用可能性を証明するものではありません。
● 例
- 01
Linux サーバを対象とした週次の認証スキャンで、未適用のカーネルパッチを検出する。
- 02
CI パイプラインでのコンテナイメージスキャンが重大な CVE を含むビルドを停止する。
● よくある質問
脆弱性スキャン とは何ですか?
既知の脆弱性シグネチャに照らしてシステム・アプリケーション・コンテナを自動的に検査し、潜在的な弱点の一覧を生成するプロセス。 サイバーセキュリティの 防御と運用 カテゴリに属します。
脆弱性スキャン とはどういう意味ですか?
既知の脆弱性シグネチャに照らしてシステム・アプリケーション・コンテナを自動的に検査し、潜在的な弱点の一覧を生成するプロセス。
脆弱性スキャン からどのように防御しますか?
脆弱性スキャン に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
脆弱性スキャン の別名は何ですか?
一般的な別名: 脆弱性自動スキャン。