防御と運用
脆弱性スキャン
別称: 脆弱性自動スキャン
定義
既知の脆弱性シグネチャに照らしてシステム・アプリケーション・コンテナを自動的に検査し、潜在的な弱点の一覧を生成するプロセス。
脆弱性スキャンでは、Nessus、Qualys、Tenable、OpenVAS、クラウドネイティブスキャナなどのツールを用いて資産を識別し、検出したソフトウェア・設定・露出面を CVE/NVD などの脆弱性データベースや CIS、DISA STIG といったベンチマークと突き合わせます。スキャンは認証スキャン(認証情報を使い精度が高い)と非認証スキャン、エージェント方式とネットワーク方式があり、継続的またはスケジュールで実行できます。結果は誤検知の除外、悪用可能性や資産情報による文脈付け、そして是正への橋渡しを目的としたトリアージが必要です。スキャンは脆弱性管理プログラムの一入力に過ぎず、それ自体で悪用可能性を証明するものではありません。
例
- Linux サーバを対象とした週次の認証スキャンで、未適用のカーネルパッチを検出する。
- CI パイプラインでのコンテナイメージスキャンが重大な CVE を含むビルドを停止する。
関連用語
脆弱性評価
通常は実際の悪用を伴わずに、環境内のセキュリティ上の弱点を体系的に特定・分類・優先順位付けする調査。
パッチ管理
脆弱性や不具合を修正するソフトウェア更新を、識別・検証・適用・確認するエンドツーエンドのプロセス。
CVE(共通脆弱性識別子)
公開された各ソフトウェア・ハードウェア脆弱性に一意の識別子を付与し、業界全体で曖昧さなく参照できるようにする公的カタログ。
CVSS(共通脆弱性評価システム)
FIRST が維持するオープンなフレームワークで、脆弱性の悪用特性と影響に基づき 0〜10 の深刻度スコアを算出する。
アタックサーフェスマネジメント(ASM)
組織をサイバー攻撃にさらすあらゆる資産を継続的に発見・棚卸し・分類・監視する取り組み。
ペネトレーションテスト
システム・アプリケーション・人を対象に、実際の攻撃者より先に悪用可能な弱点を発見するために行う、認可された模擬サイバー攻撃。