Overview
脆弱性運用管理(Vulnerability Operations)とは、組織のIT資産に存在する脆弱性を継続的に発見・評価・修復・管理するための運用プロセスです。脆弱性スキャンの実施、検出された脆弱性の優先順位付け、修復チケットの発行とSLAの管理、例外対応のガバナンスを包括的にカバーします。
現代のIT環境では、年間数万件のCVE(Common Vulnerabilities and Exposures)が公開されており、すべての脆弱性に対して均等にリソースを投入することは不可能です。リスクベースの優先順位付けにより、ビジネスへの影響度、攻撃の実現可能性、脅威インテリジェンス(実際の攻撃キャンペーンでの悪用状況)を総合的に評価し、限られたリソースで最大のリスク低減効果を実現することが求められます。
効果的な脆弱性運用管理には、スキャンの自動化・スケジューリング、修復プロセスのワークフロー化、例外管理のガバナンス体制の確立が不可欠です。また、CISA KEV(Known Exploited Vulnerabilities)カタログやEPSS(Exploit Prediction Scoring System)などの外部インテリジェンスを活用し、実際に悪用されている脆弱性を最優先で対処する体制を整えることが重要です。
Details
脆弱性スキャン運用
脆弱性スキャンは、ネットワークスキャン(認証なし/認証あり)、エージェントベーススキャン、Webアプリケーションスキャンの3つの方式を組み合わせて実施します。認証スキャンは、OS・ミドルウェア・アプリケーションの詳細な脆弱性を検出でき、認証なしスキャンよりも圧倒的に多くの脆弱性を発見できます。
スキャン運用では、対象資産の完全な把握(アセットインベントリ)が前提条件となります。CMDB(構成管理データベース)やネットワークディスカバリツールと連携し、管理対象外のシャドーITを含むすべての資産を検出・管理する仕組みが重要です。また、スキャンによる業務影響(ネットワーク負荷、サービス停止リスク)を考慮したスキャン設計も必要です。
スキャンスケジューリング
スキャンスケジューリングは、資産の重要度、環境の特性、業務への影響を考慮して最適なスキャン頻度とタイミングを決定するプロセスです。一般的には、インターネット公開資産は週次以上、内部の重要サーバーは月次、その他の内部資産は四半期ごとのスキャンを実施します。
スキャンのタイミングは、業務時間外やメンテナンスウィンドウに設定し、本番環境への影響を最小化します。ただし、緊急脆弱性(CVSSスコア9.0以上やCISA KEVに追加された脆弱性)が公開された場合には、臨時のアドホックスキャンを実施する体制も必要です。クラウド環境では、CI/CDパイプラインにスキャンを組み込み、デプロイ前の脆弱性検出も行います。
修復SLA(Service Level Agreement)
修復SLAは、検出された脆弱性の深刻度に応じて修復期限を定めるポリシーです。一般的な基準として、Critical(CVSS 9.0以上): 72時間以内、High(CVSS 7.0-8.9): 30日以内、Medium(CVSS 4.0-6.9): 90日以内、Low(CVSS 0.1-3.9): 180日以内といった階層的なSLAを設定します。
SLAの遵守状況は、ダッシュボードで可視化し、経営層やシステムオーナーに定期的にレポートします。SLA超過が発生した場合のエスカレーションプロセス(担当者→部門長→CISO→経営会議)を事前に定義し、修復の遅延を組織的に管理します。また、CISA KEVに掲載された脆弱性については、通常のSLAよりも厳しい期限(例:2週間以内)を適用するのが推奨されます。
例外管理(Exception Management)
例外管理は、技術的制約やビジネス要件により、SLA内での脆弱性修復が困難な場合の対応プロセスです。例外申請には、修復が困難な理由、代替の緩和策(ネットワークセグメンテーション、WAFルール追加、アクセス制御強化など)、リスク受容の判断根拠、例外期限を明記する必要があります。
例外承認は、脆弱性の深刻度に応じた承認レベル(Medium: セキュリティチームリーダー、High: CISO、Critical: 経営会議)を設定し、ガバナンスを確保します。承認された例外は定期的(四半期ごと)にレビューし、代替策の有効性を再評価します。例外の乱用を防ぐため、例外件数と傾向をKPIとして追跡することも重要です。
リスクベース優先順位付け
リスクベースの優先順位付けは、CVSSスコアだけでなく、複数の要素を総合的に評価して脆弱性の対処優先順位を決定するアプローチです。考慮すべき要素として、CVSSスコア(技術的深刻度)、EPSS(悪用される確率の予測スコア)、CISA KEV(実際の攻撃での悪用実績)、資産の重要度(ビジネスインパクト)、ネットワーク上の露出度(インターネット公開/内部のみ)があります。
例えば、CVSSスコアが中程度でも、EPSSスコアが高く、インターネットに公開されたシステムに存在する脆弱性は、CVSSスコアが高くても内部ネットワーク内のオフラインシステムに存在する脆弱性よりも優先度が高くなります。Qualys VMDR、Tenable Lumin、Rapid7 InsightVMなどのツールは、これらの要素を統合したリスクスコアリング機能を提供します。
Security Measures
- 01継続的なアセットインベントリの維持:脆弱性スキャンの前提として、管理対象のすべてのIT資産を正確に把握してください。CMDB、ネットワークディスカバリ、クラウドAPIを組み合わせ、シャドーITを含む包括的な資産台帳を維持・更新しましょう。
- 02リスクベースの優先順位付け導入:CVSSスコアのみに依存せず、EPSS、CISA KEV、資産の重要度、ネットワーク露出度を組み合わせた総合的なリスクスコアで優先順位を決定してください。実際に悪用されている脆弱性の修復を最優先とする体制を構築しましょう。
- 03深刻度別の修復SLAの策定と遵守管理:脆弱性の深刻度に応じた段階的な修復SLAを策定し、遵守状況をダッシュボードで可視化してください。SLA超過時のエスカレーションプロセスを定義し、修復の遅延を組織的に管理しましょう。
- 04例外管理プロセスの確立:SLA内での修復が困難な場合の例外申請・承認プロセスを確立してください。代替の緩和策の実施を必須とし、例外の定期レビューと期限管理を行い、例外の長期化・常態化を防止しましょう。
- 05CI/CDパイプラインへのスキャン統合:ソフトウェア開発のCI/CDパイプラインに脆弱性スキャン(SCA、SAST、コンテナイメージスキャン)を組み込み、脆弱性を本番環境にデプロイする前に検出・修復するシフトレフトのアプローチを実践してください。
- 06脆弱性管理のKPI測定と継続的改善:平均修復時間(MTTR)、SLA遵守率、未修復脆弱性の件数推移、スキャンカバレッジ率、例外件数などのKPIを定期的に測定し、脆弱性管理プロセスの成熟度を継続的に改善してください。
Incidents
📋 Equifax情報漏洩事件と脆弱性修復の遅延(2017年)
2017年、米国の大手信用調査会社Equifaxにおいて、Apache Strutsの既知の脆弱性(CVE-2017-5638)が悪用され、約1億4,700万人分の個人情報(社会保障番号、生年月日、住所等)が漏洩する大規模インシデントが発生しました。
この脆弱性には修復パッチが公開から2ヶ月以上前に提供されていましたが、Equifaxの脆弱性スキャンでは該当システムが対象外となっており、パッチ適用が行われていませんでした。アセットインベントリの不備、スキャンカバレッジの不足、修復SLAの未遵守が重なった結果、修復可能だった脆弱性が放置され、壊滅的な情報漏洩につながりました。
📋 Exchange Server脆弱性(ProxyLogon)の修復遅延による大規模侵害(2021年)
2021年、Microsoft Exchange Serverの複数のゼロデイ脆弱性(ProxyLogon: CVE-2021-26855他)が公開され、世界中の数万の組織が影響を受けました。Microsoftは緊急パッチを公開しましたが、多くの組織でパッチ適用が遅延し、その間に攻撃者がWebシェルを設置して持続的なアクセスを確立しました。
特に問題だったのは、パッチ適用後もWebシェルが残存していたケースが多数あったことです。脆弱性の修復(パッチ適用)だけでなく、侵害の有無の確認と対処を含む包括的な対応プロセスの必要性が浮き彫りになりました。緊急脆弱性に対する迅速なスキャン・修復体制の重要性を示す事例です。
📋 例外管理の形骸化による長期的リスク蓄積(2023年)
2023年、ある大手製造企業において、脆弱性の例外申請が形骸化し、数百件のCritical/High脆弱性が「例外承認済み」として長期間放置されていたことが外部監査で指摘されました。例外申請の承認プロセスが形式的となり、代替の緩和策の実施確認や定期的なレビューが行われていませんでした。
この状況で攻撃者が例外扱いとなっていたVPN機器の脆弱性を悪用し、内部ネットワークに侵入する事件が発生しました。緩和策として記載されていたネットワークセグメンテーションも実際には未実施であり、攻撃者は容易にラテラルムーブメントを行いました。例外管理のガバナンス強化と実効性の確認の重要性を示す事例です。