クラウドストライク2026年版グローバル脅威レポートエグゼクティブサマリー:AI時代に必読の脅威インテリジェンスレポート
ダウンロード

脆弱性評価とは

脆弱性評価は、エンドポイント、ワークロード、およびシステム全体のサイバー脆弱性を定義、特定、分類、報告する継続的で定期的なプロセスです。

ほとんどの場合、脆弱性評価は、サードパーティのセキュリティベンダーから提供されるセキュリティツールを使用して自動化されています。こうしたツールは、組織がその環境内にどのような脆弱性が存在するかを把握し、修復とパッチ適用の優先順位を決定できるよう支援することを目的としています。

脆弱性評価の重要性

脆弱性とは、サイバー攻撃の際に脅威アクターに悪用される可能性のあるIT環境内の弱点のことで、アクターの試みが成功すればシステム、アプリケーション、データといったアセットにアクセスされてしまいます。そのため、こうした弱点はサイバー犯罪者に見つかって攻撃の一環として利用される前にきちんと特定することが重要です。

脅威の状況がその範囲を広げ複雑になっていることで、組織の環境内で毎年数千とはいかないまでも数百もの脆弱性が見つかるのは珍しいことではありません。そのいずれも、侵害や攻撃への入口になる可能性があります。こうしたスキャンを手作業で行うとなると、驚くほど時間がかかってしまいます。そのため、潜在するすべての脆弱性を特定してパッチを適用するのはほぼ不可能というのが現実です。

詳細

ビジネスに影響を与える共通脆弱性識別子およびこれらに対する最善の保護方法についての記事をご覧ください。

共通脆弱性識別子

脆弱性評価のツールとソリューションによってこの作業が自動化されるため、ITチームはリソースを最適化し、修復など価値の高いタスクに集中できます。また、こうした評価を通して、ITチームは、スイープとスキャンによって見つかった脆弱性に関する重要なコンテキストを得ることもできます。それを基に、ビジネスにとって最も重大な脅威となる脆弱性に効率よく優先順位を付けて対処できます。

脆弱性評価は、データ侵害やその他のサイバー攻撃からビジネスを保護するとともに、GDPR(EU一般データ保護規則)PCI DSS(ペイメントカード業界データセキュリティ基準) などの関連する規制へのコンプライアンスを確保する一助となります。

脆弱性評価のタイプ

包括的な脆弱性評価プロセスでは、自動化ツールをいくつか利用して、IT環境全体にわたってさまざまなスキャンを実行します。これにより、アプリケーション、エンドポイント、ワークロード、データベース、システムに潜む脆弱性を特定できます。

脆弱性評価プロセスの一環として主に次の4つのスキャンが実行されます。

ネットワークベースのスキャン

  • ネットワークセキュリティ攻撃で悪用される可能性のある脆弱性を特定します。
  • 従来のネットワークに加えてワイヤレスネットワークも評価の対象です。
  • 既存のネットワークセキュリティコントロールとポリシーを適用します。

ホストベースのスキャン

  • システム、サーバー、コンテナ、ワークステーション、ワークロードといったネットワークホストに潜む脆弱性を特定します。
  • 通常、モニタリング対象デバイスやその他のホストをスキャンして、不正なアクティビティや変更といったシステム上の問題を特定できるエージェントとして展開されます。
  • システム設定とパッチ適用履歴の可視性を高めます。

アプリケーションスキャン

  • アプリケーションアーキテクチャ、ソースコード、データベースなどソフトウェアアプリケーションに関連する脆弱性を特定します。
  • Webアプリケーションとネットワークアプリケーションの設定ミスやその他のセキュリティの弱点を特定します。

データベーススキャン

  • データベースシステムやサーバーに潜む脆弱性を特定します。
  • SQLインジェクションなどデータベース固有の攻撃を防御し、権限昇格や設定ミスといった脆弱性を特定します。

脆弱性評価と脆弱性管理

脆弱性評価と脆弱性管理は2つの個別のセキュリティ対策ですが、相互に関連しています。

脆弱性管理は、エンドポイント、ワークロード、システム全体のサイバー脆弱性を特定、評価、レポート、管理、修復する継続的で定期的なプロセスです。脆弱性評価は、ネットワーク、アプリケーション、ホスト、データベースといったアセットの初期スキャンのみを指します。つまり、脆弱性評価は脆弱性管理という大きなプロセスの最初の部分になります。

この2つのアクティビティを組み合わせて使用すると、IT環境内の弱点を特定して対処することで、攻撃対象領域を強化して脅威とリスクからビジネスを保護できるようになります。

詳細

脆弱性管理プロセスおよび脆弱性管理に役立つツールをどのように見つけるかについての記事をご覧ください。

脆弱性管理

脆弱性評価の実行方法

脆弱性評価は通常、自動化ツールやソフトウェアによって実行されます。これらのソリューションでは、一般的に、IT環境をスキャンして、別の自動化ツールまたはITチームによる修復が必要な既知の脆弱性のシグネチャを探します。

最大限のセキュリティ保護を実現するため、いったんプログラムのスコープとプロセスを定義したら、その後はこうしたスキャンを継続的に実行して、急速に変化する状況に潜む弱点をプロアクティブに特定する必要があります。

脆弱性評価の5つのステップ

組織は通常、脆弱性評価を準備して実行するときに以下の5つの基本的なステップに従います。

1. プログラムのスコープ設定と準備

このフェーズでは、ITチームが評価プログラムのスコープと目標を定義します。この作業の主な目的は、攻撃対象領域のスコープ設定を正確に行い、最も重大な脅威の存在場所を把握することです。コアとなるアクティビティは次のとおりです。

  • スキャンに含めるすべてのアセット、機器、エンドポイントと、各アセットに展開するソフトウェア、オペレーティングシステム、その他のアプリケーションを特定します。
  • 各アセットに関連するセキュリティ制御とポリシーの概要をまとめます。
  • 侵害が発生した際のアセットごとの影響を判別します(例えば、アセットが機密データを含むか、または機密データを処理するか)。
2. 脆弱性のテスト

このステップでは、対象としたアセットの自動スキャンを実行して、ステップ1で定義した環境内に潜む脆弱性を特定します。このフェーズでは、ほとんどの場合、サードパーティのツールを使用するか、サイバーセキュリティサービスプロバイダーのサポートを受けます。こうしたツールやベンダーでは、既存の脆弱性データベースや脅威インテリジェンスフィードを利用して、脆弱性を検知して分類します。

3. 優先順位付け

このステージでは、評価中に明らかになった脆弱性をすべて確認し、どの脆弱性がビジネスにとって最大のリスクになるかを判断します。組織に重大な影響を及ぼすものを優先して修復する必要があります。

優先順位付けは次のいくつかの要素に基づいて行われます。

  • 脆弱性データベースや脅威インテリジェンスツールで定められている脆弱性のスコアリング
  • 弱点が悪用された場合にビジネスが受ける影響(つまり、この脆弱性が原因で機密データが危険にさらされるか)
  • 弱点の既知の利用可能性(つまり、サイバー犯罪者がこの弱点について知っているか過去に悪用した確率はどのくらいか)
  • 悪用しやすさ
  • 脆弱性を無効化するために必要なパッチや取り組み

4. レポートの作成

このフェーズでは、ツールにより包括的なレポートが生成され、セキュリティチームは環境内に潜むすべての脆弱性のスナップショットを確認できます。また、レポートでは、これらの脆弱性に優先順位が付けられ、修復する方法に関するいくつかのガイダンスも提供されます。

レポートには、脆弱性について以下のような詳しい情報が記載されています。

  • 脆弱性が検出された日時と場所
  • 脆弱性の影響を受けるシステムやアセット
  • 悪用の可能性
  • 悪用された場合にビジネスが受ける可能性のある損害
  • パッチの可用性とその展開に必要な労力

5. 継続的な改善

脆弱性の状況は(分刻みではないにしても)日々変化しているため、脆弱性評価は定期的かつ頻繁に実施する必要があります。これにより、組織は過去のスキャンで特定された脆弱性を効果的に解決するだけでなく、新たな脆弱性が発生した際に検知することもできます。

既存のアセット(ネットワーク、データベース、ホスト、アプリケーションなど)を評価することに加えて、脆弱性評価を継続的インテグレーション/継続的デリバリー (CI/CD) プロセスに組み込むことについても検討する必要があります。これにより、開発ライフサイクル内の早い段階で脆弱性に対処できるようになり、こうした潜在的なエクスプロイトにパッチを適用して保護し、本番稼働前に対処できます。

詳細

CI/CDパイプラインの利点と、コードを継続的に統合、配信、展開するのに最も適したツールについての記事をご覧ください。

継続的インテグレーション/継続的デリバリー (CI/CD)

クラウドストライクによる継続的な脆弱性評価の実現

あらゆる組織のサイバーセキュリティにとって、IT環境全体にわたってリアルタイムで包括的な可視性を実現することが不可欠です。脆弱性がないか継続的に環境をスキャンすると、脅威とリスクからビジネスを防御する取り組みを優位に進めることができます。

ただし、脆弱性評価ツールがすべて等しく作成されているわけではありません。ソリューションを選択するときは、エンドポイントやシステムの肥大化やパフォーマンス低下を招くことなく脅威をタイムリーに特定できるツールを選ぶことが重要です。

このような理由から、軽量エージェントを介して提供される、スキャンレスのソリューション(つまり、常時稼働し、弱点がないか継続的に確認して脆弱性を特定するもの)を検討する必要があります。

CrowdStrike Falcon® Exposure Managementは、クラウドストライクが単一のエージェントを介して提供するスキャンレスのソリューションであり、1つのプラットフォーム上で脆弱性を一元管理できます。このソリューションが備える対話型ダッシュボードには検索とフィルタリングの機能があり、ITチームはデータをリアルタイムに表示して対話形式で操作できるので、組織のセキュリティに危険性をもたらす可能性のあるギャップがあれば直ちに対処できます。

ベイ・ワン(Bei Wang)は、クラウドストライクのシニアプロダクトマーケティングマネージャーとして、脆弱性とエクスポージャー管理を担当しています。サイバーセキュリティとエンタープライズITの分野で豊富な経験を持っており、テクノロジースタートアップ企業や、Rapid7、Akamai、Red Hatなどの大手テクノロジーベンダーで製品マーケティングの役職を担当してきました。サイバーセキュリティへのホリスティックアプローチや、脆弱性管理をわかりやすく提示することに取り組んでいます。同氏は、マサチューセッツ工科大学 (MIT) で電気工学の経営学修士号 (MBA) と修士号を取得しています。