脆弱性管理は、「脆弱性情報の収集」「優先度の評価」「脆弱性への対処」「進捗状況の管理」の4つのプロセスを順に実施し、これを継続的に繰り返すことで進めます。
- 脆弱性情報の収集
自社で使用しているシステムの構成要素を把握し、関連する最新の脆弱性情報を収集する。 - 優先度の評価
CVSSなどの基準を使って脆弱性の危険度を判定し、対応の優先順位をつける。 - 脆弱性への対処
高リスクの脆弱性から順に、パッチ適用などの対策を実施する。パッチがない場合は、別の対策を検討する。 - 進捗状況の管理
対応結果を記録して関係者と共有し、対応漏れを防ぎ、今後の対策に活かす。
4つのプロセスを継続的に実施することで、企業のセキュリティリスクを効果的に低減できます。
詳しい手順は「脆弱性管理における4つのプロセス」をご覧ください。
