パッチマネジメントを自動化する際に考えておきたい脆弱性管理の課題とは：こっそり始めるパッチマネジメント自動化入門（終）

パッチ適用の時間を短縮する「自動化」について解説する連載。最終回は、パッチマネジメントサイクルについて振り返り、脆弱性管理の課題や最新動向などについて解説します。

[大久保次郎，NTTデータ先端技術株式会社]

パッチマネジメントサイクルにおける脆弱性管理

　パッチ適用の時間を短縮する「自動化」について解説する本連載「こっそり始めるパッチマネジメント自動化入門」。第1回で説明したパッチマネジメントサイクルについて覚えているでしょうか？

パッチマネジメントサイクル（再掲）

　パッチマネジメントとは、セキュリティリスクを低減してシステムを健全に運用することを目的とし、システムを構成するサーバのOS、ミドルウェアおよびネットワーク機器の脆弱（ぜいじゃく）性を特定し、それらのセキュリティパッチを適用することで脆弱性を修正し、セキュリティリスクを低減する一連の作業を管理することです。

　脆弱性管理はこのパッチマネジメントサイクルの中で「脆弱性の調査」と「パッチの特定」の部分に対応します。「脆弱性の調査」では脆弱性スキャナーを使ったスキャン検査やセキュリティ専門会社によるセキュリティ診断で対象サーバの脆弱性を洗い出します。次に、洗い出した脆弱性に対して脆弱性の深刻度と対象サーバの情報資産としての価値的重要性を掛け合わせ、パッチ適用の優先順位を決定します。これが「パッチの特定」です。

脆弱性の調査

　脆弱性スキャナーで検査すると製品によって若干の違いがありますが、おおむね下記表のような項目の情報がレポートとして出力されます。

　共通脆弱性識別子CVE（Common Vulnerabilities and Exposures）は、個別製品中の脆弱性を対象として、米国企業のMITREが採番している識別子です。日本でも情報処理推進機構（IPA）とJPCERT/CC（Japan Computer Emergency Response Team / Coordination Center）が共同で管理、運用しているJVN（Japan Vulnerability Notes）という脆弱性データベースがありますが、日本国内でも脆弱性の管理にはCVE番号を使うのが一般的です。

　なお、MITREについては記事「MITRE ATT&CK（マイターアタック）とは？　「今のサイバー攻撃って何してくるの？」が分かる6つの利用方法：MITRE ATT&CKで始める脅威ベースのセキュリティ対策入門（1） - ＠IT」に詳しく書かれているのでご参照ください。

　共通脆弱性評価システムCVSS（Common Vulnerability Scoring System）は脆弱性の深刻度を表す指標の一つです。ベンダーに依存せず、オープンで包括的、汎用（はんよう）的な評価方法として作られており、バージョンは国際フォーラム「Forum of Incident Response and Security Teams」（FIRST）が管理しています。現状v2とv3の2つのバージョンがあります。

　脆弱性の調査は検査対象ノードごとに、脆弱性の存在とその深刻度をまとめる作業です。

　CVSS値は0〜10.0の少数点1位の数値で表され、v2では「High」「Medium」「Low」の3段階、v3で「Critical」「High」「Medium」「Low」「None」の5段階で深刻度をカテゴリー分けしています。

パッチの特定

　パッチの特定では脆弱性の深刻度とサーバの情報資産としての価値的重要度を掛け合わせてパッチ適用の優先順位を決定します。つまり、脆弱性の深刻度（危険度ともいえるでしょう）が高く、サーバの存在が重要で保持している情報資産の価値が高い場合は、最優先でパッチ適用が必要ということです。

脆弱性管理の課題

　セキュリティ専門家でない情報システム部門のメンバーが脆弱性を適正に管理するのは簡単なことではありません。企業の情報システム部門で脆弱性を管理する際には以下のような点が課題となることが多いのではないかと考えます。