脆弱性 | SQAT®.jp

2026年5月8日2026年5月8日

脆弱性診断は受けたけれど ― SSVCで考える「脆弱性管理」と優先順位付け

Security NEWS TOPに戻る
バックナンバー TOPに戻る

～とある会社Aと脆弱性診断の結果を受け取った関係者とのやり取り～

脆弱性診断を受けたA社では入社3年目のセキュリティ担当・Bさんが結果に頭を抱えています。なぜなら、社内ネットワークに使っているスイッチにCVSSスコア9.8の脆弱性、リモートアクセスに使用しているVPNゲートウェイにCVSSスコア8.8、オンラインショップ用の受発注管理に利用しているデータベースにCVSSスコア7.5の脆弱性が見つかってしまったからです。リスクはどれも「高」レベルとして報告されたため、Bさんは上司に相談し、すべてに修正パッチを当てるようスイッチとVPNゲートウェイについてはインフラチームの担当者に、データベースについては開発部に連絡することにしました。

インフラチームのCさんとSlackでやり取りをしていたBさんはCさんからこんなことを伝えられます。

インフラチームCさん「修正パッチを適用するとなると、インフラチームは基本みんなリモートだから、誰かを土日のどこかで休日出勤させるか、急ぎだったら平日の夜間に勤務させて、パッチを当てることになるけど、どれぐらい急ぎなの？」

「あと、VPNとスイッチ、どっちを先に作業したほうがいいの？パッチの情報を調べてみたら、VPNのほうは一度途中のバージョンまで上げてから最新バージョンまで上げないといけないみたいで、作業時間がすごくかかりそうだから、別日で作業しないとだめかもしれないんだよね」

Bさんは答えに詰まってしまいました。リスクレベルは高だといわれているけれども、どれぐらい急ぐのかは誰も教えてくれないからです。

答えに詰まって「確認してから折り返し連絡します」と返したところ、「セキュリティ担当はいいなあ。土日とか夜間に作業しなくていいし、すぐに答えなくてもいいんだから」と嫌味までいわれてしまいました。

Bさんは脆弱性診断の結果が返ってきてから1週間後、開発部門のD部長にセキュリティ担当と開発部門の定例会議の際に報告事項としてパッチ適用の件を報告しました。するとD部長はこういいました。

開発部D部長「この件、1週間ほど報告に時間を要したようですが、脆弱性診断の結果以外に何か追加の情報はありますか？あと、この脆弱性診断の結果によるとリスクレベル高とありますが、社内の規定としてどの程度急ぐかといった判断はされましたか？」

開発部のほかの人にもこんなことをいわれてしまいます。

開発部担当者「パッチを適用する場合、ステージング環境で影響を調査したうえで必要であればコードや設定の修正などを行う必要がありますが、その時間や工数は考慮されていないですよね。通常の開発業務とどちらを優先すべきかといった判断はどうなっているんですか？」

Bさんはまたもや言葉に詰まってしまいます。セキュリティ担当は自分と上司の2人だけ、上司は別の業務との兼務でパッチの適用の優先順位付けまで考えている時間はありません。自分もEDRやファイアウォールの運用をしながら脆弱性診断の依頼や結果を受け取るだけで、とても他の部門の業務内容や環境のことまで把握しきる余裕がないのです。

ここまで、架空の会社A社と脆弱性診断の結果を受け取った関係者の反応を物語形式でお送りいたしました。現在、弊社の脆弱性診断サービスでは脆弱性単体のリスクの度合いの結果をご提供させていただくことはあっても、その脆弱性をどういった優先度で修正しなければならないかといった情報はご提供しておりません。なぜならば、パッチを適用するにあたって優先順位をつけるためにはお客様しか知りえない、以下の要素が必要になるためです。

パッチ適用の優先順位をつけるための3つの要素

脆弱性を持つアセットが置かれている環境
・インターネット上で公開された状態か、IPSやFWなどで制御されたネットワーク内か、もしくはローカル環境依存といった非常に限定的な環境かといった分類
・CVSSでいう環境スコア（CVSS-E）の攻撃区分（MAV）にあたる、実際の環境依存の要素
アセットが攻撃を受けた場合に事業継続性に与える影響
アセットが攻撃を受けた場合に社会や社内（運用保守・人材）に与える影響

冒頭のA社のケースでは以下のように整理できるでしょう。

アセットが置かれている環境

VPN：インターネット上で公開された状態
データベース：設定を間違っていなければIPSやFWなどで制御されたネットワーク配下だが、公開ネットワーク寄り
スイッチ：設置環境によって制御されたネットワーク内かローカル環境になる。

アセットが公開されている場合、攻撃者からよりアクセスしやすいことからより緊急度が高いといえるので、VPN＝データベース＞スイッチの順になると考えられるでしょう。

アセットが攻撃を受けた場合に事業継続性に与える影響

アセットが攻撃を受けた場合に自社の事業継続にどの程度影響が出るかといった要素です。
仮にランサムウェア攻撃によって影響を受けた場合、それぞれのアセットの停止でどの程度の影響が出るかを想定してください。A社の場合事業継続性への影響度順でいうと、データベース＞VPN＞スイッチの順になると考えられます。

今回の場合はデータベースが事業に直結しており、顧客情報を含むデータを持っているため、継続性への影響度が高いという想定です。アセットの利用目的や環境によってはこの順番が入れ替わることもあります。

アセットが攻撃を受けた場合に社会や社内に対して与える影響

A社がランサムウェア攻撃を受けた場合はオンラインショッピングサイトのデータベース関連で以下の影響が見込まれます。

顧客情報の漏洩
運用およびシステムの復旧にかかる費用と工数

このほかにVPNやスイッチもフォレンジック調査の対象となって業務が行えなくなる可能性が高いと考えられます。VPNに関しては利用できない期間、社員の出社が必須になるなどワークスタイルへの影響も出る可能性もあります。こういったことから、社会および社内に対して与える影響でA社の例を考えると影響度は、データベース＞VPN＝スイッチと考えられるでしょう。

SSVCとは

こうした情報があったうえで利用ができようになる優先順位付けの方法があります。それが「SSVC（Stakeholder-Specific Vulnerability Categorization）」です。SSVCは脆弱性管理プロセスに関与する利害関係者のニーズに基づいて脆弱性に優先順位を付けるための方法論とされており、経営・マネジメント層、システム開発者、システム運用者といったステークホルダーと一緒に脆弱性に対処していくための方法論といえます。SSVCは脆弱性そのものの技術的評価ではなく、脆弱性にどのように対処するかという観点での評価を行うフレームワークになります。

SSVCの3つのモデル

ソフトウェアやハードウェアの供給者、すなわちパッチを開発する人が用いる「Supplier Decision Model」
ソフトウェアやハードウェアを利用する側、つまりパッチを適用する人が用いる「Deployer Decision Model」
CSIRTやPSIRT、セキュリティ研究者やBug Bounty Programなど、脆弱性に対して何らかの調整やコミュニケーションのハブとなりうる人、コーディネーターが用いる「Coordinator Decision Model」

このうち、「Deployer Decision Model」と「Supplier Decision Model」ではプライオリティ（対応優先度）付けの結果を4つにわけています。

SSVCで得られるプライオリティ付けの結果

	Deployer Model	Supplier Model
Immediate	すべてのリソースを投入し、通常業務を止めてでもパッチの適用を直ちに行うべきである	全社的にすべてのリソースを投入して修正パッチを開発し、リリース
Out-of-cycle	定期的なメンテナンスウィンドウより前に、やむを得ない場合は残業を伴う形で緩和策または解消策を適用	緩和策または解消策を他のプロジェクトからリソースを借りてでも開発し、完成次第セキュリティパッチとして修正パッチをリリース
Scheduled	定期的なメンテナンスウィンドウで適用	通常のリソース内で定期的な修正パッチのリリースタイミングでパッチをリリース
Defer	現時点で特に行うことはない	現時点で特に行うことはない

ここではDeployer Decision ModelをもとにA社がどのようにパッチを適用すべきか検討してみましょう。

まず、Bさんは上司に相談したうえで、前述した3つの要素、「脆弱性を持つアセットが置かれている環境」、「事業継続性への影響」、「社会や社内への影響度」を定義していく必要があります。また、この定義に当たっては実際の環境や利用用途、部門内のリソースなどをよく知っているインフラチームや開発部といった当事者、つまりステークホルダーの関与（少なくとも承認）が必要となってきます。このほかに優先順位付けの結果、”Immediate”や”Out-of-Cycle”が出た場合の対応プロセスも用意しておく必要があります。Bさん１人で何かできることはそれほど多くはなく、社内のステークホルダーへの聞き取りや経営層への説明、必要なプロセスの準備と合意形成など、上司や部門全体も含めて組織的に取り組まなければならないといえます。さらに、Bさんは脆弱性自体が持つ以下の要素を調べる必要があります。

脆弱性が持つ要素

自動化の可能性

攻撃者がツール化して脆弱性を悪用するかどうかを判定するものとなります。これは攻撃者がツール化した場合、攻撃者間でツールの売買が行われるなど汎用的に悪用される可能性があるため、把握が必要な要素となります。一部の脆弱性はCISA VulnrichmentやCVSS4.0のSupplement MetricsのAutomatableの値が参照できますが、情報の参照先がないものについてはPoCの有無やPoCの内容から自動化の可否を判断する必要があります。この点はSSVC利用の難点として挙げられることもあります。

悪用の状況

実際に攻撃されていることを示すActive、PoCのみを示すPoC、悪用されていないことを表すNoneの3つに分類されます。この情報は時間の経過とともに変化する可能性が最も高く、逐次状況を確認する必要があります。情報の参照先は、KEVカタログ、CISA VulnrichmentのExploitationの値、CVSS4.0のThreat MetricsやNVDのReferenceのPoCの有無といったものが利用できます。唯一難点があるとすれば、日本国内でシェアの高い国内メーカー機器の情報がKEVカタログやCISA Vulnrichmentなどにあまり反映されない点にあります。

まとめ　～CVSSとSSVCの活用～

これまではCVSSが高い値のものだけ対処していた、という組織も多いでしょう。CVSSは脆弱性の単体評価ができ、脆弱性が広く悪用された場合の深刻度を測るための評価システムです。ただし、その脆弱性が存在するアセットがどのように利用されているか、そのアセットが業務継続性や運用保守、ひいては社会全体に対してどのような影響を与えるかといった観点が欠けていることが長らく問題視されてきたのも事実です。

脆弱性管理は手間がかかる、登場人物が多い、意見がまとまらないといったこともあるでしょうし、「自動化の可能性とかわからないし、攻撃の状況をずっと見ているほどの時間の余裕はない！」といった様々なお声があるかと思います。しかし、今この瞬間どの企業がいつサイバー攻撃を受けるのか全く見当もつかない状況の中、少しでもリスクを回避したい、どこにリスクがあるのか手がかりをはっきりしておきたいという企業の皆さまもいらっしゃるかもしれません。本記事を通じて、こういった脆弱性管理手法があることを知っていただき、活用することでリスク回避ができるようになるための役立つ情報提供となれば幸いです。

参考情報：

独立行政法人情報処理推進機構（IPA）「共通脆弱性評価システムCVSS v3概説」
https://www.ipa.go.jp/security/vuln/scap/cvssv3.html
カーネギー・メロン大学「SSVC: Stakeholder-Specific Vulnerability Categorization」
https://certcc.github.io/SSVC/

公開日：2024年9月10日
更新日：2026年5月13日

編集責任：木下

Security NEWS TOPに戻る
バックナンバー TOPに戻る

サイバーインシデント緊急対応

ウェビナー開催のお知らせ

最新情報はこちら

Youtubeチャンネルのご案内

SQATチャンネル（@sqatchannel9896）では毎月、アナリストが語る「セキュリティトピック」解説動画やウェビナー動画を更新しています。ぜひチャンネル登録をして、チェックしてみてください。

2026年5月8日2026年5月8日

2026年1Q KEVカタログ掲載CVEの統計と分析

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）から公開されている「KEVカタログ（Known Exploited Vulnerabilities）」は、実際に攻撃に悪用された脆弱性の権威あるリストとして、組織のセキュリティ対策の優先順位付けに不可欠なツールとなっています。本記事では、KEVカタログに2026年1月1日～3月31日に登録・公開された脆弱性の傾向を整理・分析します。

本記事は2025年1Q：第1四半期～4Q：第4四半期の分析レポートに続く記事となります。過去記事もぜひあわせてご覧ください。
「2025年1Q KEVカタログ掲載CVEの統計と分析」

はじめに

2025年4Qを対象とした前回記事
では、KEVカタログへ追加された62件のCVEを分析し、「実際に悪用された脆弱性」をどのように運用へ落とし込むべきかを整理しました。本稿はその続編として、2026年1月〜3月にKEVへ追加された71件を主対象に分析します。さらに、4月中旬までに追加された11件については速報として別枠で扱います。

2026年1Qの統計データ概要

2026年1Qに新規登録された脆弱性は以下の通りです。

月	件数
1月	17
2月	28
3月	26

2026年1QにKEVへ追加された件数は71件でした。前回4Qの62件から増加しています。2〜3月にかけて増加傾向がみられ、2025年4Qでみられた「10月集中型」とは異なる波形を示しています。前回のような単月集中型ではなく、継続的に悪用済み脆弱性が追加された四半期だったと言えます。

主要ベンダー別の内訳

ベンダー	件数
Microsoft	12
Apple	7
Cisco	4
Synacor	3
SolarWinds	3
Google	3
SmarterTools	3

ベンダー別では、Microsoftが継続して最多となった一方、Apple関連脆弱性が大きく増加した点が今期の特徴です。また、SmarterMailやSolarWinds Web Help Deskなど、管理系・運用系製品の継続的な掲載も目立ちました。これは、攻撃者が単なるユーザー端末だけでなく、「管理面」や「運用基盤」そのものを重点的に狙っていることを示しています。

脆弱性タイプ（CWE）の分布

CWE	件数
CWE-94（コードインジェクション）	7
CWE-502（不適切なデータ逆シリアル化）	5
CWE-78（OSコマンドインジェクション）	4
CWE-288（認証回避）	4
CWE-918（サーバサイドリクエストフォージェリ（SSRF））	4

今期は特に、「認証境界を越えて管理権限を奪う」タイプの脆弱性が増加しています。特にCWE-94やCWE-502は、外部公開された管理系製品と組み合わさることで、一気に侵害の起点になり得ます。

攻撃の自動化容易性（Automatable）

自動化攻撃が容易である「Yes」と分類された脆弱性は30件となっていました。つまり、多くの脆弱性が「自動化された攻撃」に利用されやすい状況にあると言えます。攻撃者側のスキャン・悪用速度が上がっている現在、公開管理面を持つ資産では特に短期間で侵害へ至るリスクがあります。

技術的影響範囲（Technical Impact）

「Total」（＝脆弱性を突かれるとシステムを完全制御されてしまう深刻な影響を持つもの）が62件、partialは9件であり、大部分が侵害後に広範な影響を与えるタイプでした。

CVSSスコア分布

区分	件数
Critical	30
High	34
Medium	7

CVSS帯では、9.0以上の「Critical（緊急）」帯が30件、7.0～8.9の「High（高）」帯が34件と、高危険度が大半を占めました。

CISAはKEVカタログを、「実際に悪用された脆弱性の権威ある一覧」と位置づけています。つまり、KEVに掲載された時点で、すでに攻撃者による実利用が確認されているということです。そのため、CVSSだけではなく、インターネット露出、ランサムウェア悪用確認、対応期限（dueDate）、自動化容易性（Automatable）などを踏まえた実務的な優先度付けが求められます。

CVSSスコアの基本的な考え方と、企業の脆弱性対応判断にどう活かすべきか、以下の記事で整理しています。ぜひこちらもあわせてご覧ください。
「CVSSスコアの正しい使い方 ―脆弱性対応の判断にどう活かすべきか―」

実際にランサムウェア攻撃に悪用された脆弱性

実際にランサムウェアに悪用されたと判明しているのは前回3件から今回4件と増加しており、「公開後すぐに武器化される」傾向がさらに強まっています。

前回四半期との比較

指標	2025年4Q	2026年1Q
KEV追加件数	62	71
Critical	24	30
ランサムウェア悪用確認	3	4
2024年以前のCVE	継続多数	17

単純な件数増だけでなく、「古い脆弱性が今も悪用され続けている」ことが重要です。2024年以前のCVEが17件含まれており、未更新資産やレガシー運用が依然として攻撃対象であり続けている現実が見えてきます。

また、2025年4Qではメモリ破壊や権限管理不備が目立ったのに対し、2026年1Qでは境界突破型の脆弱性が増加しています。これは、攻撃者が単純な破壊活動やDoS攻撃ではなく、「運用基盤そのものを掌握する」方向へ重点を移していることを示唆しています。

注目の個別脆弱性ケーススタディ

Cisco ― CVE-2026-20131

CiscoのCVE-2026-20131は、今期を象徴する脆弱性の一つです。無認証・ネットワーク経由・root権限でのリモートコード実行が可能であり、ランサムウェア悪用も確認されました。さらに、KEV追加から対応期限までが極めて短く、緊急対応が必要なケースでした。*1

この事例が示しているのは、「インターネット公開された管理面は、最優先で閉じるべき」という点です。VPN、ファイアウォール、管理コンソールなどの境界機器は、一度侵害されると内部ネットワーク全体への踏み台になります。

BeyondTrust ― CVE-2026-1731

BeyondTrustのCVE-2026-1731は、特権アクセス管理やRemote Support（遠隔サポート）基盤が侵害された場合の危険性を示した事例です。セルフホストかつインターネット向けな構成では、侵害後に横展開が容易になり、被害範囲が急速に拡大します。*2

特に、管理者権限を扱う製品は「通常業務システムより優先して守るべき対象」です。業務停止だけでなく、認証情報窃取や内部侵入の起点になる可能性が高いためです。

SmarterMail

SmarterMail関連では、複数のCVEが短期間で継続的に追加されました。重要なのは、「一度アップデートしたから安全」という状況ではなかった点です。複数ビルドに対して連続的にcritical fixが提供されており、更新追随そのものが運用課題になっていました。

実際にSmarterTools自身も、未更新VMが侵害起点だったことを認めています。*3これは、「資産を把握していても、更新追随に失敗すると侵害される」という教訓を示しています。

Trivy

Trivyのケースは、開発者やSRE (Site Reliability Engineering）にとって重要です。この事例では、GitHub Actionsタグ改ざんやsetup-trivy置換を通じて、供給網経由の侵害が発生しました*4。つまり、防御ツールそのものが攻撃経路へ変化したということです。

このケースは、「脆弱性管理はOSやミドルウェアだけでは終わらない」ことを示しています。GitHub ActionsのSHA pinning、SBOM管理、シークレットローテーションなど、CI/CD全体の完全性確認が重要になります。

影響評価とリスク優先度付け

KEV対応では、「CVSSが高いから即P1」といった単純な判断は適切ではありません。実務では、実際に自社資産が存在するか、インターネットへ公開されているか、ランサムウェア悪用が確認されているか、対応期限が短いか、といった条件を重ねて優先度を決める必要があります。今回の記事では、実務運用を想定して、以下の4段階で整理します。

優先度	条件	対応目安
P1（変更管理より封じ込めを優先するレベル）	インターネット公開 / ランサムウェア悪用確認 / 対応期限≤3日	即日〜72時間
P2（週内対応を前提）	自動化攻撃が容易 / 技術的影響範囲（Technical Impact）「Total」	1週間以内
P3（計画停止枠）	露出限定・代替統制あり	対応期限まで
P4（継続監視対象）	未利用・廃止済み	継続監視

KEV対応では、CVSSスコアだけでなく、実際の悪用状況やインターネット露出、業務影響を踏まえた優先順位付けが重要になります。こうした「何を先に直すべきか」を判断する考え方については、SSVCを用いた脆弱性管理と優先順位付けの解説記事でも詳しく紹介しています。
「脆弱性診断は受けたけれど ― SSVCで考える「脆弱性管理」と優先順位付け」

まとめ

2026年1QのKEV分析では、「件数増加」そのものよりも、「どの資産が継続的に狙われているか」が明確になりました。特に、境界機器、管理基盤、メール基盤、CI/CDといった“運用の中枢”が攻撃対象になっています。共通しているのは、「攻撃者は管理面を狙う」という点です。

KEVは、もはや単なる高CVSS一覧ではありません。「実際に悪用された脆弱性を、限られた時間でどう優先対応するか」を判断するための、実務上の最重要リストになっています。

【参考情報】

“Reducing the Significant Risk of Known Exploited Vulnerabilities”,CISA,https://www.cisa.gov/known-exploited-vulnerabilities

”Stakeholder-Specific Vulnerability Categorization (SSVC)”,CISA,https://www.cisa.gov/stakeholder-specific-vulnerability-categorization-ssvc

“Unlocking Vulnrichment: Enriching CVE Data”,CISA,https://www.cisa.gov/news-events/news/unlocking-vulnrichment-enriching-cve-data

”BOD 22-01: Reducing the Significant Risk of Known Exploited Vulnerabilities”,CISA,https://www.cisa.gov/news-events/directives/bod-22-01-reducing-significant-risk-known-exploited-vulnerabilities

BBSecでは

アタックサーフェス調査サービス

インターネット上で「攻撃者にとって対象組織はどう見えているか」調査・報告するサービスです。攻撃者と同じ観点に立ち、企業ドメイン情報をはじめとする、公開情報（OSINT）を利用して攻撃可能なポイントの有無を、弊社セキュリティエンジニアが調査いたします。

サイバーインシデント緊急対応

セキュリティインシデントの再発防止や体制強化を確実に行うには、専門家の支援を受けることも有効です。BBSecでは緊急対応支援サービスをご提供しています。突然の大規模攻撃や情報漏洩の懸念等、緊急事態もしくはその可能性が発生した場合は、BBSecにご相談ください。セキュリティのスペシャリストが、御社システムの状況把握、防御、そして事後対策をトータルにサポートさせていただきます。

ウェビナー開催のお知らせ

2026年5月20日（水）14:00～15:30【BBSec/Future/ハンモック共催】「脆弱性管理の最適解 ― ASM・IT資産管理・脆弱性管理を分けて考え、統合するという選択」

2026年5月27日（水）14:00～15:00「～取引先から求められる前に押さえる～ SCS評価制度への対応準備と現実的な進め方」

2026年6月3日（水）14:00～15:00「金融機関の対応事例に学ぶPQC移行の進め方と実務ポイント」

最新情報はこちら

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2026年5月7日2026年5月8日

SBOMとは？ソフトウェア部品表の基本と企業が導入すべき理由

SBOM（Software Bill of Materials）は、ソフトウェアを構成するOSSやライブラリ、依存関係を可視化する「ソフトウェア部品表」です。本記事では、SBOMの基本から注目される背景、OSS脆弱性管理やソフトウェアサプライチェーン対策との関係、企業が導入すべき理由まで分かりやすく解説します。

はじめに

ソフトウェアの安全性を考えるうえで、近年急速に重要性が高まっているのがSBOM（Software Bill of Materials）です。日本語では「ソフトウェア部品表」とも呼ばれ、ソフトウェアを構成するライブラリ、モジュール、依存関係、供給元などを整理して把握するための考え方として広がっています。背景にあるのは、企業システムの多くが自社開発のコードだけで成り立っているわけではなく、OSS、外部コンポーネント、パッケージ、クラウドネイティブな部品を組み合わせて構築されている現実です。そのため、どのソフトウェアに何が含まれているのか分からない状態では、脆弱性対応もソフトウェアサプライチェーン対策も後手に回りやすくなります。NIST（米国立標準技術研究所）ではSBOMについて、「ソフトウェアを構築するために使われた各種コンポーネントとサプライチェーン上の関係を記録した正式な記録」と説明しています*5。

SBOMは単なる開発者向けの技術資料ではありません。新しい脆弱性が公開されたときに、自社のどのシステムが影響を受けるのかを素早く把握するための基盤であり、調達先のソフトウェアを評価するための材料でもあり、継続的な脆弱性管理を支える台帳にもなります。NTIA（米国商務省電気通信情報局：National Telecommunications and Information Administration）は、「SBOMの最低要件が脆弱性管理、ソフトウェア在庫管理、ライセンス管理といった基本的なユースケースを可能にする」と整理しています*2。つまりSBOMは、単に「何が入っているか」を眺めるための一覧ではなく、ソフトウェアの透明性を高め、セキュリティ運用を速く正確にするための実務ツールです。

SBOMとは

SBOMとは、ソフトウェアを構成する部品の一覧とその部品同士の関係を示す情報のことです。食品に原材料表示があるようにソフトウェアにも、何でできているかを示す考え方が必要だという発想で語られることが多く、NISTもその比喩を用いて説明しています。SBOMに含まれる情報としては、コンポーネント名、供給元、バージョン、識別子、依存関係などが代表的です。

ここで重要なのは、SBOMがソースコード一覧そのものではない、という点です。SBOMは完成したソフトウェアや提供される製品・サービスの中に、どのような構成要素が含まれているかを把握するためのものです。特にオープンソースソフトウェア（OSS）を多用する現代の開発では、直接利用しているライブラリだけでなく、その先の依存関係まで含めて把握することが欠かせません。自社が書いていないコードであっても、最終的に自社サービスの一部として動作している以上、その脆弱性やライセンス、供給元リスクに無関心ではいられません。SBOMは、その見えにくい構成を可視化する手段です。

なぜ今SBOMが注目されているのか

SBOMが注目されている最大の理由は、ソフトウェアサプライチェーンの複雑化です。現在の企業システムは、内製コードだけで完結することが少なく、OSSライブラリ、サードパーティ製コンポーネント、外部サービス、コンテナイメージなどの積み重ねで成り立っています。その結果、脆弱性が発見されたときに自社に関係あるのかがすぐに分からないケースが増えています。SBOMがあれば、影響を受けるコンポーネントの有無を確認しやすくなり、初動のスピードを上げやすくなります。米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）もSBOMを、「ソフトウェア透明性とサプライチェーンセキュリティを支える重要な要素」として扱っています*3。

また、脆弱性対応の現実もSBOMが注目される理由の一つです。脆弱性情報は日々公開されますが、公開情報だけを見ても、自社のどのシステムにその部品が含まれているか分からなければ、対応判断が遅れます。NTIAはSBOMのユースケースとして脆弱性管理を明示しており、CISAもSBOMの実務活用をサプライチェーン防御の一部として位置付けています*4。つまりSBOMは、脆弱性情報を受け取ったあとに本当に役立つ資産側の台帳として価値を持ちます。

SBOMで分かること

SBOMを整備すると、まずソフトウェアに含まれるコンポーネントの全体像が見えるようになります。どのOSSライブラリが使われているか、どのバージョンか、どの供給元に由来するか、どう依存しているかが分かれば、新しい脆弱性が公表されたときの影響調査が大幅にしやすくなります。また、ライセンス確認や調達先評価、保守対象の整理にも役立ちます。NTIAは、SBOMが脆弱性、在庫、ライセンスの管理に資することを明確に示しています。

さらにSBOMは開発部門だけでなく、運用部門、調達部門、セキュリティ部門にとっても意味があります。開発部門にとっては依存関係の可視化、運用部門にとっては影響調査の迅速化、調達部門にとってはベンダー製品の透明性確認、セキュリティ部門にとっては脆弱性管理の効率化につながります。NISTがSBOMを「サプライチェーン上の関係を含む正式な記録」として位置付けているのは、こうした部門横断の活用が前提にあるからです。

SBOMとOSS脆弱性管理の関係

SBOMが特に力を発揮するのは、OSS脆弱性管理の場面です。近年のソフトウェアは、多数のOSSコンポーネントに依存していますが、問題はその依存関係が深くなりやすいことです。開発者が直接追加したライブラリだけでなく、その先にぶら下がる間接依存まで含めると、構成は想像以上に複雑になります。そのためSBOMがない状態では、ある脆弱性が自社に影響するのか、どのアプリケーションに含まれているのか、を迅速に判断しにくくなります。SBOMはその複雑さを整理し、脆弱性対応の起点を作る役割を果たします。

この点で、SBOMはSCA（Software Composition Analysis）と相性が良い考え方です。SCAはソフトウェアの依存関係を解析し、既知脆弱性やライセンス情報を確認するための仕組みですが、その結果を継続的に管理しやすくするうえでSBOMが有効です。つまりSCAが見つけるための仕組みだとすれば、SBOMは構成を記録し、影響を追いやすくするための仕組みと捉えると分かりやすいです。SBOMそのものが脆弱性を自動で直すわけではありませんが、どこに何が入っているかを把握できるだけでも、対応の速度と精度は大きく変わります。

SBOMの代表的な形式と標準

SBOMを実務で扱うには、機械可読な形式が重要です。NTIAの minimum elements でも、自動化を支える仕組みが重要な要件のひとつとして示されています。手書きの一覧表では更新に追いつかず、脆弱性情報との突合も難しいためです。実務で広く知られている代表的な形式としては、OWASP CycloneDX (ECMA-424)やSPDXが挙げられます。少なくともCycloneDXは、サイバーリスク低減のためのフルスタックのBill of Materials (BOM)標準として位置付けられており、現在はECMA-424として標準化されています。

形式選定で重要なのはどちらが絶対に優れているかではなく、自社の利用目的に合っているかです。開発パイプラインに組み込みやすいか、既存ツールと連携しやすいか、脆弱性管理やライセンス管理に使いやすいか、といった観点で選ぶのが現実的です。標準形式を使うことで、ツール間連携や取引先との情報共有もしやすくなります。

企業がSBOMを導入すべき理由

企業がSBOMを導入すべき理由は明快です。第一に、脆弱性対応が速くなるからです。新しいCVEが出たときに、対象部品が自社のどこに入っているかを確認しやすくなれば、影響調査の時間を短縮できます。第二に、ソフトウェアサプライチェーンの透明性が高まるからです。外部から調達したソフトウェアについても、何が含まれているかが分かれば、評価や説明責任を果たしやすくなります。第三に、継続的なソフトウェア資産管理に役立つからです。NTIAもこうしたユースケースをSBOMの基本的価値として整理しています。

加えて、SBOMはこれからの脆弱性管理の前提になりつつあります。クラウドネイティブ化や
DevSecOpsが進むほど、ソフトウェア構成は動的になり、人手だけで追うのは困難になります。NISTもソフトウェアサプライチェーン対策の中でSBOMを含む各種能力の実装を推奨しており、CISAもSBOM消費の実践をサプライチェーン強化の一部として扱っています。SBOMは流行語ではなく、複雑化したソフトウェア環境を管理するための土台になりつつあると考えたほうがよいでしょう。

SBOM導入時の課題

もっともSBOMは作れば終わりではありません。実際の課題はどう作るかよりも、どう更新し、どう使うかにあります。ソフトウェアは日々更新されるため、一度作成したSBOMを放置するとすぐに実態とずれます。またSBOMがあっても、脆弱性情報や資産台帳、SCA、CI/CDと連携していなければ、実務で十分に生きません。CISAの近年のガイダンスもSBOMの生成だけでなく消費、つまり実際の運用への組み込みを重視しています。

そのため導入では、まず重要システムや外部公開サービスなど、影響の大きい範囲から始めるのが現実的です。CI/CDでSBOMを自動生成する仕組みを作り、SCAや脆弱性管理フローと結び付けて、脆弱性情報公開時にすぐ影響確認できるようにする。この流れができて初めて、SBOMは単なる提出資料ではなく、日常運用で役立つ仕組みになります。

まとめ

SBOMとは、ソフトウェアを構成する部品とその関係を記録する「ソフトウェア部品表」です。OSS利用の拡大やソフトウェアサプライチェーンの複雑化により、どのシステムに何が含まれているのかを把握する重要性はこれまで以上に高まっています。SBOMを整備することで、脆弱性対応の初動を速め、影響調査を効率化し、ソフトウェアの透明性を高めやすくなります。NTIA、NIST、CISAがいずれもSBOMを重要視しているのは、その実務的な価値が明確だからです。特にSBOMは、SBOMとは何かを理解するだけでは不十分で、脆弱性管理、SCA、CI/CD、調達管理とどう結び付けるかが重要です。企業が導入を考える際は、形式やツール選定だけでなく、更新運用と活用場面まで見据えて設計する必要があります。これからのセキュリティ運用では、SBOMは一部の先進企業だけのものではなく、ソフトウェアを安全に使い続けるための基本装備に近づいています。

SBOMは脆弱性対応やソフトウェアサプライチェーン対策を効率化するための重要な仕組みです。ただしSBOMを整備するだけでは十分ではなく、継続的な脆弱性管理が重要になります。企業が行うべき脆弱性管理の基本や実践フローについては、以下の記事で詳しく解説しています。
「脆弱性管理とは？企業が行うべき脆弱性管理の基本と実践手順【2026年版】」

【関連ウェビナーのご案内】
本記事では、脆弱性スキャンとは何か、脆弱性診断との違い、ツール比較のポイント、導入時の考え方までを整理しました。次回、5月20日（水）14時からの開催のウェビナーでは、AssetViewとFutureVulsのメーカーが登壇し、各領域の役割をどのように整理し、どのように連携させれば実効性ある脆弱性管理が実現できるのか、解説します。脆弱性管理の考え方について深くを理解されたい方は、ぜひご参加ください。

その他のウェビナー開催情報はこちら

BBSecでは

BBSecでは以下のようなご支援が可能です。お客様のご状況に合わせて最適なご提案をいたします。

自ステムの状態を知る

SQAT^®脆弱性診断サービス

サイバー攻撃に対する備えとして、BBSecが提供する、SQAT脆弱性診断サービスでは、攻撃者の侵入を許す脆弱性の存在が見逃されていないかどうかを定期的に確認することができます。自組織の状態を知り、適切な脆弱性対策をすることが重要です。

アタックサーフェス調査サービス

編集責任：木下

Security NEWS TOPに戻る
バックナンバー TOPに戻る

年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

サービスに関する疑問や質問はこちらからお気軽にお問合せください。

2026年4月21日2026年4月21日

CitrixBleed 3（CVE-2026-3055）の脆弱性：NetScaler ADC / Gatewayの影響・リスク・対策

CVE-2026-3055が注目される背景（CitrixBleedとの関連）

2026年3月、Cloud Software Groupは、Citrix NetScaler ADCおよびNetScaler Gatewayに関する複数の脆弱性情報を公表しました*5。その中でも特に注意が必要なのが、CVE-2026-3055です。

CVE-2026-3055は、NetScaler ADCおよびNetScaler GatewayがSAML IDPとして構成されている場合に影響を受ける、入力検証不備に起因するメモリオーバーリードの脆弱性です。Citrix公式アドバイザリでは、CWE-125、CVSS v4.0のベーススコア9.3、Criticalとして評価されています。本脆弱性は、通称「CitrixBleed 3」と呼ばれています。JPCERT/CCは、過去に大きな問題となったCitrix Bleed系の脆弱性、CVE-2023-4966、CVE-2025-5777との類似点が海外セキュリティ企業によって指摘されていると説明しています*2。

2025年7月に公表されたCitrix Bleed2（CVE-2025-5777）の脆弱性については以下の記事でご紹介しています。こちらもあわせてご覧ください。
「今すぐ対応を！Citrix Bleed2（CVE-2025-5777）の脆弱性情報まとめ」

企業にとって重要なのは、この脆弱性が単なる製品不具合ではなく、外部公開されている認証基盤やリモートアクセス基盤から情報漏洩につながる可能性がある点です。NetScaler GatewayはVPNやリモートアクセス、SSO連携の前段に置かれることが多く、侵害された場合の影響が社内ネットワーク全体に及ぶおそれがあります。

CVE-2026-3055の概要

CVE-2026-3055は、NetScaler ADCおよびNetScaler Gatewayにおけるメモリオーバーリードの脆弱性です。NVD（National Vulnerability Database）では、NetScaler ADCおよびNetScaler GatewayがSAML IDPとして構成されている場合、不十分な入力検証によりメモリオーバーリードが発生すると説明されています*3。

メモリオーバーリードとは、本来読み取るべきではないメモリ領域のデータが読み取られてしまう問題です。JPCERT/CCは、CVE-2026-3055について、遠隔の第三者によって意図しないメモリ領域のデータが読み取られる可能性があると注意喚起しています。この種の脆弱性で問題になるのは、攻撃者が直接ファイルを盗み出さなくても、メモリ上に一時的に残っていた情報が漏洩する可能性があることです。NetScalerのような認証や通信制御に関わる装置では、セッション情報、認証処理に関係する情報、SAML連携に関する情報などがメモリ上で扱われるため、情報漏洩の影響を慎重に評価する必要があります。

影響を受ける製品とバージョン

CVE-2026-3055の影響を受けるのは、NetScaler ADCおよびNetScaler Gatewayの一部バージョンです。Citrix公式アドバイザリでは、NetScaler ADCおよびNetScaler Gateway 14.1の14.1-60.58より前、13.1の13.1-62.23より前、NetScaler ADC FIPSおよびNDcPPの13.1-37.262より前が影響を受けるとされています。

ただし、バージョンだけでなく構成条件も重要です。Citrix公式は、CVE-2026-3055について、Citrix ADCまたはCitrix GatewayがSAML IDP Profileとして構成されていることを前提条件として示しています。確認方法として、NetScalerの設定内に “add authentication samlIdPProfile .*” が存在するかを確認するよう案内しています。つまり、NetScalerを利用しているすべての環境が同じ条件で影響を受けるわけではありません。しかし、SAML IDPはSSOや認証連携に関わる重要な構成で使われるため、該当する場合は優先度を上げて確認すべきです。

CVE-2026-3055はKEVカタログ登録済みの脆弱性

CVE-2026-3055は、すでに米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）のKEVカタログ（Known Exploited Vulnerabilities Catalog）に追加されています。NVD上でも、CVE-2026-3055がCISA KEVに登録されていること、追加日が2026年3月30日であること、米国連邦政府機関向けの対応期限が2026年4月2日であることが確認できます。KEVカタログへの追加は、少なくともCISAが既知の悪用済脆弱性として扱っていることを意味します。そのため、CVE-2026-3055は「将来的に悪用されるかもしれない脆弱性」ではなく、実際の攻撃リスクを前提として対応すべき脆弱性です。

JPCERT/CCも、2026年3月31日時点で海外セキュリティ企業から悪用に関する観測情報や詳細な技術情報が公表されていると説明しています。公開インターネット上にNetScaler ADCやNetScaler Gatewayを設置している企業は、すでに攻撃対象として探索されている可能性を考慮する必要があります。

CVE-2026-3055が「CitrixBleed 3」と呼ばれる理由

CVE-2026-3055は、正式名称として「CitrixBleed 3」と命名されているわけではありません。しかし、セキュリティ業界では、過去に大きな影響を与えたCitrix Bleed系の脆弱性との類似性から、このように呼ばれることがあります。過去のCitrix Bleedでは、NetScaler ADCやNetScaler Gatewayにおける情報漏洩が問題となり、認証情報やセッション情報の悪用が懸念されました。今回のCVE-2026-3055も、NetScaler製品におけるメモリ読み取りの問題であり、境界装置から情報が漏えいする可能性があるという点で、過去のCitrix Bleed系の問題を想起させます。JPCERT/CCも、CVE-2023-4966およびCVE-2025-5777との類似点が指摘されているとしています。

企業のセキュリティ担当者がこの名称に注意すべき理由は、名前そのものではなく、攻撃者が狙いやすい外部公開機器で、認証に関わる情報が漏洩する可能性があるという構図です。これは、ランサムウェア攻撃や標的型攻撃の初期侵入経路として悪用されるリスクを高めます。

悪用された場合のリスク

CVE-2026-3055を悪用された場合、最も懸念されるのは、NetScalerのメモリ上に存在する情報が第三者に読み取られることです。JPCERT/CCは、遠隔の第三者によって意図しないメモリ領域のデータが読み取られる可能性があると説明しています。

NetScalerは、社外から社内システムへアクセスする際の入口として利用されることがあります。SSL VPN、リモートアクセス、SSO、認証連携の前段に配置されることも多く、ここで情報漏えいが発生すると、単一システムの問題にとどまらず、社内ネットワークへの不正アクセスやアカウント悪用につながる可能性があります。

特に注意すべきなのは、パッチ適用だけでリスクが完全に消えるとは限らない点です。メモリ情報漏えい型の脆弱性では、修正前に何らかの情報が読み取られていた場合、その情報が後から悪用される可能性を否定できません。そのため、アップデートとあわせて、ログ調査、セッションの無効化、認証情報の見直し、関連アカウントの監視を実施することが重要です。

企業がまず確認すべきポイント

CVE-2026-3055への対応では、まず自社がNetScaler ADCまたはNetScaler Gatewayを利用しているかを確認する必要があります。特に、VPN、リモートアクセス、SSO、認証連携、社外公開システムの前段にNetScalerが配置されていないかを確認することが重要です。

次に、対象バージョンに該当するかを確認します。Citrix公式アドバイザリでは、NetScaler ADCおよびNetScaler Gateway 14.1の14.1-60.58より前、13.1の13.1-62.23より前、NetScaler ADC FIPSおよびNDcPPの13.1-37.262より前がCVE-2026-3055の影響を受けるとされています。

さらに、SAML IDPとして構成されているかを確認します。Citrix公式は、NetScaler Configuration内に”add authentication samlIdPProfile .* ”が存在するかを確認するよう案内しています。この設定が存在する場合、CVE-2026-3055の影響を受ける条件に該当する可能性があります。

対応方針：アップデートが最優先

CVE-2026-3055について、JPCERT/CCは、Cloud Software Groupが本脆弱性に対する回避策を提供していないと説明しています。そのため、アクセス制限や監視強化だけで対応を完了させるのではなく、修正済みバージョンへのアップグレードを基本方針とすべきです。Citrix公式アドバイザリでも、影響を受ける顧客に対して、関連する更新済みバージョンをできるだけ早くインストールするよう強く推奨しています。本番環境では検証や切り戻し計画が必要になる場合がありますが、KEVカタログに登録されていることを踏まえると、通常の月次パッチ対応よりも高い優先度で扱うべき脆弱性です。

侵害有無の確認方法

CVE-2026-3055では、パッチ適用と同時に侵害有無の確認も重要です。JPCERT/CCは、watchTowr Labsの情報として、CVE-2026-3055を悪用する攻撃の試行は、/saml/login への細工したPOSTリクエストや、/wsfed/passive?wctx へのGETリクエストによって行われると紹介しています。通常運用で想定されない送信元IPから、これらのエンドポイントへのアクセスがログに記録されていないか確認することが推奨されています。また、JPCERT/CCは、DEBUGレベルのログを有効化している場合、/var/log/ns.log に意図しない文字列が挿入される点もwatchTowr Labsが指摘していると説明しています。侵害が疑われる場合は、ログの保全、関係者への報告、メーカーや専門事業者への相談を検討すべきです。重要なのは、「アップデートしたから終わり」としないことです。すでに攻撃を受けていた場合、攻撃者が取得した可能性のある情報を前提に、セッションの無効化や認証情報の更新、管理者アカウントの確認、異常なログイン履歴の調査を進める必要があります。

なぜ境界装置は狙われるのか

近年、VPN装置、ADC、認証ゲートウェイ、ファイル転送装置など、インターネット境界に置かれる機器の脆弱性が繰り返し悪用されています。これらの機器は社内ネットワークへの入口に位置し、多くの場合、認証情報やセッション情報、社内システムへのアクセス経路を扱います。攻撃者にとっては、境界装置の侵害が効率のよい初期侵入手段となります。一般的な端末を一台ずつ狙うよりも、外部公開された認証基盤やリモートアクセス装置を突破する方が、社内環境へ到達しやすい場合があるためです。CVE-2026-3055は、まさにこの文脈で捉える必要があります。NetScaler ADCやNetScaler Gatewayを導入している企業は、単に脆弱なバージョンを更新するだけではなく、外部公開資産の棚卸し、設定確認、ログ監視、脆弱性情報の継続的な収集を組み合わせて対応する必要があります。

脆弱性管理で求められる実務対応

CVE-2026-3055のような重大なリスクレベルの脆弱性に対応するには、まず資産を把握していることが前提になります。どの拠点、どのクラウド環境、どのネットワーク境界にNetScalerが存在するのかを把握できていなければ、脆弱性情報が公開されても迅速に判断できません。また脆弱性の深刻度だけでなく、自社環境での露出状況を評価する必要があります。CVE-2026-3055はCVSS v4.0で9.3のCriticalと評価されていますが、実務上は、インターネットから到達可能か、SAML IDPとして構成されているか、認証基盤としてどの範囲に影響するかを確認することが重要です。さらに、KEVカタログへの登録の有無も優先順位付けの重要な判断材料になります。CVE-2026-3055はKEVカタログへ登録済みであり、NVD上でもその情報が確認できます。既知悪用脆弱性に該当する場合、通常の脆弱性対応よりも優先度を上げ、短期間での対応計画を立てるべきでしょう。

この脆弱性から学ぶべきポイント

CVE-2026-3055は、個別の製品脆弱性であると同時に、企業の脆弱性管理体制を見直すきっかけにもなります。特に、VPNや認証ゲートウェイのような外部公開機器は、業務継続に不可欠である一方、攻撃者にとっても魅力的な標的です。今後も、境界装置や認証基盤に関する脆弱性は継続的に公表されると考えられます。そのたびに場当たり的に対応するのではなく、外部公開資産の一覧化、バージョン管理、設定管理、ログ監視、緊急パッチ適用の判断基準をあらかじめ整備しておくことが求められます。特に、情シス部門やセキュリティ担当者が少人数で運用している企業では、脆弱性情報の収集、影響調査、優先順位付け、パッチ適用、侵害調査をすべて自社だけで行うことが難しい場合があります。その場合は、外部診断やセキュリティ監視サービス、インシデント対応支援を組み合わせ、重要な境界装置を継続的に確認できる体制を整えることが現実的です。

まとめ：CVE-2026-3055への対応ポイント

CVE-2026-3055は、NetScaler ADCおよびNetScaler GatewayがSAML IDPとして構成されている場合に影響を受ける、メモリオーバーリードの重大脆弱性です。この脆弱性の本質は、NetScalerという外部公開されやすい認証・通信制御基盤から、意図しないメモリ領域のデータが読み取られる可能性がある点にあります。企業は、NetScaler ADC / Gatewayの利用有無、対象バージョン、SAML IDP構成の有無を確認し、該当する場合は修正版へのアップグレードを速やかに進める必要があります。あわせて、/saml/loginや/wsfed/passive?wctxへの不審なアクセスの有無を確認し、侵害が疑われる場合はログ保全と専門的な調査を行うことが重要です。

CVE-2026-3055は、単なる一製品の脆弱性ではなく、外部公開資産と認証基盤の管理が企業のセキュリティに直結することを示す事例です。脆弱性管理は、パッチを当てる作業だけではありません。資産を把握し、影響を判断し、優先順位を付け、侵害有無まで確認する一連の運用として整備することが、今後ますます重要になるでしょう。

【参考情報】

Picus Security,BLOG”CVE-2026-3055 & CVE-2026-4368: Inside the NetScaler “CitrixBleed 3” Memory Overread”April 16, 2026,https://www.picussecurity.com/resource/blog/cve-2026-3055-cve-2026-4368-inside-the-netscaler-citrixbleed-3-memory-overread
Rapid7,BLOG”CVE-2026-3055: Citrix NetScaler ADC and NetScaler Gateway Out-of-Bounds Read”,Mar 31, 2026,https://www.rapid7.com/blog/post/etr-cve-2026-3055-citrix-netscaler-adc-and-netscaler-gateway-out-of-bounds-read/
watchTowr Labs,https://labs.watchtowr.com/
※7は記事タイトル・URLが変わる可能性があるため、watchTowr Labs内で「CVE-2026-3055」または「CitrixBleed 3」で検索するのが確実です。

サイバーインシデント緊急対応

ウェビナー開催のお知らせ

2026年5月13日（水）13:00～14:00【好評アンコール配信】
「攻撃は本当に成立するのか？ペネトレーションテストで検証する実践的セキュリティ対策（デモ解説）」

2026年5月20日（水）14:00～15:30 <BBSec/Future/ハンモック共催>
「脆弱性管理の最適解 ― ASM・IT資産管理・脆弱性管理を分けて考え、統合するという選択」

2026年5月27日（水）14:00～15:00
「～取引先から求められる前に押さえる～ SCS評価制度への対応準備と現実的な進め方」

最新情報はこちら

編集責任：木下

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2026年4月20日2026年4月21日

脆弱性スキャンとは？脆弱性診断ツールの選び方と導入ポイント

脆弱性スキャンは、企業のシステムやネットワーク、Webアプリケーション、クラウド環境に存在する既知の脆弱性を効率よく洗い出すための基本的な手段です。近年は、公開サーバーやVPN機器だけでなく、クラウド上のワークロード、コンテナ、OSSライブラリまで管理対象が広がっており、手作業だけで安全性を確認するのは現実的ではありません。そこで重要になるのが、脆弱性スキャナーや脆弱性診断ツールを使って、環境全体を継続的に確認する考え方です。CISAも、インターネット公開資産に対する継続的な脆弱性スキャンを、基本的な「サイバーハイジーン（Cyber Hygiene）」の一環として位置付けています。

ただし、脆弱性スキャンを導入すれば自動的に安全になるわけではありません。スキャンはあくまで既知の弱点を機械的に見つける仕組みであり、誤検知や過検知、設定不備の見落とし、業務影響を踏まえた優先順位判断までは自動では完結しません。そのため実務では、脆弱性スキャンの役割を正しく理解したうえで、脆弱性診断や脆弱性管理のプロセスと組み合わせて運用する必要があります。本記事では、脆弱性スキャンとは何か、脆弱性診断との違い、ツール比較のポイント、導入時の考え方までを整理します。

脆弱性スキャンとは

脆弱性スキャンとは、サーバー、ネットワーク機器、Webアプリケーション、クラウド環境などに対して自動的に検査を行い、既知の脆弱性や不適切な設定、不足している更新などを検出する仕組みです。企業が脆弱性スキャンを導入する目的は、攻撃者に悪用される前に自社環境の弱点を見つけ、修正につなげることにあります。米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）のCyber Hygiene Servicesでも、Vulnerability Scanning（脆弱性スキャン）はインターネットから到達可能な資産を継続的に監視し脆弱性の有無を評価するサービス、として説明されています。

脆弱性スキャンの特徴は、自動化にあります。人手では確認しきれない大量のIPアドレス、Webアプリケーション、仮想マシン、コンテナイメージなどを機械的に点検し、既知の脆弱性情報や設定ミスと突き合わせることで、短時間に広い範囲を確認できます。NIST SP 800-115『Technical Guide to Information Security Testing』でも、自動化されたテスト手法は情報セキュリティ評価の重要な手段とされ、SCAPのような標準化された枠組みが脆弱性管理の自動化を支えるものとして紹介されています。

一方で、脆弱性スキャンには限界もあります。自動スキャンは既知のパターンには強いものの、業務ロジックに起因する脆弱性や、文脈を踏まえた攻撃シナリオまでは把握しきれない場合があります。また、誤検知や重複検知が発生することもあるため、結果をそのまま鵜呑みにするのではなく、影響の確認と優先順位付けが必要です。つまり脆弱性スキャンは、脆弱性管理の入口として非常に有効ですが、それだけで完結するものではありません。

脆弱性スキャンを適切に実施するためには、対象となるIT資産を正確に把握することが重要です。サーバーやネットワークだけでなく、クラウド環境やOSSコンポーネントも対象となります。IT資産管理と脆弱性管理の関係については、以下の記事も参考になります。
「脆弱性管理とIT資産管理 -サイバー攻撃から組織を守る取り組み-」

脆弱性診断との違い

脆弱性スキャンと脆弱性診断は混同されやすい言葉ですが、実務上は役割が異なります。脆弱性スキャンは、既知の脆弱性や設定不備を自動的に広く洗い出すことに向いています。これに対して脆弱性診断は、専門家が対象システムの構造や挙動を踏まえながら、ツールだけでは見つけにくい問題も含めて詳細に評価する行為です。OWASPでは、ペネトレーションテストやセキュリティテストがスキャン単独よりも実際の攻撃可能性やリスク評価をより正確に把握する助けになる、と説明しています*4。

たとえば、Webアプリケーションに対する自動スキャンでは、SQLインジェクションやクロスサイトスクリプティングの典型的なパターンは検出しやすい一方で、権限管理の不備や業務フロー上のロジック欠陥、複数機能をまたいだ複雑な脆弱性は取り逃がす可能性があります。OWASPのOWASP Web Security Testing Guideでは、Webセキュリティ評価が単なる自動実行ではなく、アプリケーションの設計や攻撃面を踏まえた体系的なテストであることを示しています。

そのため企業では、脆弱性スキャンと脆弱性診断を対立概念として捉えるよりも、目的に応じて使い分けることが重要です。日常的な広範囲確認には脆弱性スキャンが向いており、公開Webサービスや重要システムの深い評価には脆弱性診断が向いています。脆弱性スキャンは継続運用の基盤、脆弱性診断は重点箇所の深掘りというように整理すると理解しやすいでしょう。

脆弱性スキャンの種類

脆弱性スキャンにはいくつかの種類があり、どこを対象にするかで使うツールや評価軸が変わります。

Webスキャン

OWASPでは、Webアプリケーション脆弱性スキャンを、外部からWebアプリケーションを自動検査し、XSS、SQLインジェクション、コマンドインジェクション、パストラバーサル、不適切な設定などの脆弱性を探すツール、として説明しています*2。いわゆるDAST（Dynamic Application Security Testing）に近い領域であり、インターネット公開されるサービスでは特に重要です。企業サイト、会員サイト、管理画面、APIなど、公開面があるならWebスキャンは有力な選択肢になります。

ネットワークスキャン

サーバー、ルーター、ファイアウォール、VPN装置などに対して、開いているポート、稼働サービス、既知の脆弱性、更新不足の状況を確認するものです。特にインターネットに公開された機器は攻撃対象になりやすいため、CISAも継続的なスキャンの重要性を強調しています。

クラウドスキャン

クラウドでは、OSやミドルウェアの脆弱性だけでなく、ストレージの公開設定、IAM権限、コンテナ設定、イメージの更新状況なども安全性に大きく影響します。従来型のネットワークスキャンだけでは十分でなく、CSPMやCNAPP系の機能を持つツールでクラウド設定やワークロードを可視化する必要があります。共有責任モデルのもとでは、クラウド事業者が管理しない部分は利用企業側が継続的に見なければなりません。

さらに、OSS脆弱性スキャン、いわゆるSCAも見逃せません。現代のソフトウェアは多くのOSSライブラリに依存しており、アプリケーション本体に問題がなくても、依存パッケージの脆弱性がリスクになります。NTIA（米国商務省電気通信情報局：National Telecommunications and Information Administration）が公開している「The Minimum Elements For a Software Bill of Materials (SBOM) 」では、SBOMをソフトウェアを構成する各種コンポーネントとサプライチェーン上の関係を記録する正式な記録、と定義しており、OSS脆弱性管理の前提として極めて重要です。SCAやSBOM対応ツールを使うことで、どのアプリケーションにどの部品が含まれているかを把握しやすくなります。

脆弱性スキャナーの比較

脆弱性スキャナーを比較するとき、まず見るべきなのはCVE対応の範囲です。脆弱性スキャンの基本は、既知の脆弱性データと自社環境を突き合わせることにあるため、どの程度広くCVE情報やベンダー情報に対応しているかは重要です。とはいえ、単に「CVEに対応している」と書かれているだけでは不十分で、更新頻度、対応製品の広さ、クラウドやコンテナへの追従性まで見たほうが実務では役立ちます。CISAが示す脆弱性管理の考え方*3でも、継続的に変化する資産や脅威を前提にした運用が重視されています。

次に確認したいのがスキャン精度です。脆弱性スキャナーは便利ですが、誤検知が多すぎると運用部門が疲弊し、逆に本当に重要な項目を見逃しやすくなります。逆に、検知が甘ければ見つかるべき脆弱性を取り逃がすことになります。ツールの比較では、単なる検知件数ではなく、結果がどれだけ実務で使いやすいか、重複排除や重要度の絞り込みがしやすいかも見ておく必要があります。OWASPが指摘するようにスキャン結果だけでは実際の攻撃可能性を完全に評価できない*4ため結果の解釈しやすさも重要です。

さらに、OSSライブラリ検出やSBOM生成の可否は、近年ますます重要になっています。SCAに対応していないツールでは、アプリケーション内部の依存関係まで把握できず、ソフトウェアサプライチェーンリスクへの対応が難しくなります。SBOMを生成・管理できるかどうかは、脆弱性スキャンの範囲をインフラからソフトウェア部品まで広げられるかどうかに直結します。NTIAはSBOMが脆弱性管理、ソフトウェア在庫管理、ライセンス管理などの基本ユースケースに役立つとしています。

脆弱性スキャン導入のポイント

脆弱性スキャンを導入する際に考えるべきポイントは以下のとおりです。

導入目的の明確化

公開Webサイトの安全性を高めたいのか、社内サーバーの更新漏れを防ぎたいのか、クラウド設定不備を見つけたいのか、OSS脆弱性を把握したいのかで、適したツールは変わります。目的が曖昧なまま「有名だから」という理由だけで導入すると、期待した検知ができなかったり、運用負荷だけが増えたりします。

導入後の運用体制の整備

脆弱性スキャンは、導入しただけでは意味がなく、誰が結果を確認し、どこまで精査し、どの基準で是正依頼を出し、修正後にどう再確認するかまで決めておく必要があります。NISTのパッチ・脆弱性管理ガイドでも、技術そのものより、継続運用のプロセス設計が重要であることが示されています。ツール導入はゴールではなく、脆弱性管理のサイクルを回すための手段です。

資産管理との連携

スキャン結果を脆弱性対応に直結させるためには、資産管理との連携も欠かせません。どのサーバーがどの業務に使われているのか、どのシステムが外部公開されているのか、どのアプリケーションがどのOSS部品を利用しているのかが分からなければ、検出された脆弱性の優先順位を決められません。特にクラウドやコンテナ環境では、資産の増減が激しいため、台帳やCMDB、クラウド資産可視化と組み合わせた運用が重要です。

脆弱性診断・ペネトレーションテストとの併用

脆弱性スキャンは広く速く確認するのに強い一方で、業務ロジックや複雑な攻撃経路までは十分に評価できないことがあります。公開サービスや重要システムでは、重点的な診断を組み合わせるほうが現実的です。OWASPも、ペネトレーションテストがスキャンだけでは見えない実攻撃視点の評価に役立つと説明しています。

脆弱性スキャンで脆弱性を発見した後は、迅速に対応を行うことが重要です。適切な優先順位付けやパッチ適用を行わなければ、攻撃リスクを低減することはできません。脆弱性対応の具体的な手順については、以下の記事で詳しく解説しています。
「脆弱性対応とは？CVE対応とパッチ管理の実務フロー」

脆弱性管理との関係

脆弱性スキャンは、脆弱性管理そのものではありませんが、脆弱性管理を支える重要な要素です。脆弱性管理は、資産把握、脆弱性情報収集、評価、是正、再確認を継続的に回す運用全体を指します。その中で脆弱性スキャンは、「発見」と「継続的な監視」を支える手段として機能します。CISAが脆弱性管理を、脆弱性や悪用可能な状態の頻度と影響を減らす取り組みとして整理している*5ことからも、スキャン単独ではなく運用全体の中で捉えるべきことが分かります。

脆弱性スキャンは、脆弱性管理の一部として実施される重要なプロセスです。しかし、スキャンを実施するだけでは不十分であり、発見した脆弱性を評価・対応まで含めて継続的に管理する必要があります。企業の脆弱性管理全体の流れについては、以下の記事で詳しく解説しています。
「脆弱性管理とは？企業が行うべき脆弱性管理の基本と実践手順【2026年版】」

実務では、脆弱性スキャンで見つけた結果をそのまま並べるだけでは意味がありません。資産の重要度、公開状態、CVSS、既知悪用の有無、業務影響などを踏まえて優先順位を決め、必要な修正や診断につなげていく必要があります。さらに、OSS脆弱性についてはSCAやSBOMを組み合わせて調査範囲を広げることが重要です。つまり脆弱性スキャンは、脆弱性管理の入口であり、全体運用へつなぐための観測手段だといえます。

まとめ

脆弱性スキャンとは、既知の脆弱性や設定不備を自動的に洗い出し、企業の攻撃面を継続的に可視化するための基本手段です。ネットワークスキャン、Webスキャン、クラウド環境スキャン、OSS脆弱性スキャンといった種類があり、企業のシステム構成に応じて適切に選ぶ必要があります。ただし、脆弱性スキャンは万能ではなく、脆弱性診断やペネトレーションテストのような深い評価とは役割が異なります。広く見つけるのがスキャン、深く確かめるのが診断、と整理すると理解しやすいです。

導入時に重要なのは、ツールの知名度ではなく、自社の目的に合っているかどうかです。CVE対応の広さ、スキャン精度、クラウド対応、OSSライブラリ検出、SBOM生成の可否などを見極めたうえで、導入後に誰がどのように結果を処理するかまで設計しておく必要があります。脆弱性スキャンを単独の製品選定で終わらせず、脆弱性管理の継続運用へつなげることが、企業にとって本当の導入効果につながります。

【参考情報】

NIST（米国立標準技術研究所）,NIST SP 800-40 Rev. 4,Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology（https://csrc.nist.gov/pubs/sp/800/40/r4/final）
NIST（米国立標準技術研究所）,NIST SP 800-40 Version 2（https://csrc.nist.gov/pubs/sp/800/40/ver2/final）

その他のウェビナー開催情報はこちら

BBSecでは

BBSecでは以下のようなご支援が可能です。お客様のご状況に合わせて最適なご提案をいたします。

自ステムの状態を知る

SQAT^®脆弱性診断サービス

アタックサーフェス調査サービス

編集責任：木下

Security NEWS TOPに戻る
バックナンバー TOPに戻る

年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

サービスに関する疑問や質問はこちらからお気軽にお問合せください。

2026年4月12日2026年5月7日

脆弱性対応とは？CVE対応とパッチ管理の実務フロー

脆弱性対応は、企業の情報システムを守るうえで避けて通れない業務です。新しい脆弱性は日々公開されており、それらの一部は実際に攻撃へ悪用されています。問題は、脆弱性の存在そのものではなく、自社に影響する脆弱性を見極められず、対応が遅れることです。脆弱性への初動が遅れれば、情報漏洩、業務停止、ランサムウェア感染など、企業活動に直結する被害へ発展しかねません。だからこそ、脆弱性対応は単なるパッチ適用ではなく、情報収集、影響調査、優先順位付け、修正、再確認までを含めた一連の実務として捉える必要があります。

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、脆弱性対応を含むvulnerability management（脆弱性管理）の目的を、脆弱性や悪用可能な状態の発生頻度と影響を減らすことだと整理しています。

企業の脆弱性管理については、以下の記事で詳しく解説しています。
「脆弱性管理とは？企業が行うべき脆弱性管理の基本と実践手順」

脆弱性対応とは

脆弱性対応とは、公開された脆弱性情報や自社で発見した弱点に対して、自社システムへの影響を調査し、必要な対策を選び、修正し、修正後の状態を確認する一連の対応を指します。ここで重要なのは、脆弱性対応が「脆弱性があるからすぐパッチを当てる」という単純な作業ではないことです。実務では、対象資産の把握、公開有無、業務影響、代替策の有無、停止可能時間、クラウドやOSSへの影響などを考慮しながら判断します。NISTも、パッチ管理を「パッチ、更新、アップグレードを識別し、優先順位を付け、取得し、適用し、その適用を確認するプロセス」と定義しており、単純な更新作業ではなく管理プロセスそのものとして扱っています。

脆弱性対応が重要視される理由のひとつは、公開された脆弱性の一部が現実に悪用されているからです。CISAは「KEVカタログ（Known Exploited Vulnerabilities）」で、実際に悪用が確認された脆弱性を定期的に公開しています。つまり企業に求められるのは、脆弱性情報を収集することだけではなく、「どれが今まさに危険なのか」「自社に関係するのか」を見極めて動くことです。脆弱性対応とは、攻撃の入口になりうる弱点を、優先順位をつけて現実的に潰していく運用だといえます。

CVEとは

脆弱性対応を進めるうえで、まず押さえておきたいのがCVEです。CVEはCommon Vulnerabilities and Exposuresの略で、公開された脆弱性や露出情報に対して一意の識別子を付ける仕組みです。米MITREはCVE Programの役割を、公開されたサイバーセキュリティ上の脆弱性を識別し、定義し、整理することだと説明しています。

また、NVD（米国国立脆弱性データベース）でもCVEを特定の製品やコードベースに対して識別された脆弱性の辞書・用語集として扱っています。つまりCVEは、世界中のベンダー、研究者、利用企業が同じ脆弱性を同じ名前で参照するための共通言語です。脆弱性対応を行う際には、まず対象となる脆弱性情報を正確に把握することが重要です。多くの脆弱性は CVE識別番号で管理されています。

CVEは世界中で共有される脆弱性情報の共通IDであり、企業のセキュリティ対策において重要な役割を果たします。CVEの仕組みや意味については、以下の記事で詳しく解説しています。
「CVEとは？共通脆弱性識別子の基本と管理方法を徹底解説」

実務では、CVE識別番号だけを見て終わりではありません。CVEは「何の脆弱性か」を特定するためのIDであり、深刻度や攻撃条件、自社への影響を判断するには、NVDやベンダーアドバイザリ、製品別のセキュリティ情報をあわせて確認する必要があります。NVDはCVEに対してCVSSなどの標準化データを付与し、脆弱性管理や自動化に使える情報を提供しています。そのため企業の脆弱性対応では、「まずCVEを把握し、次にNVDやベンダー情報で内容を確認し、自社資産と突き合わせる」という流れが基本になります。

CVSSスコアの見方

CVEを把握したあとに多くの担当者が見るのがCVSSスコアです。CVSSはCommon Vulnerability Scoring Systemの略で、脆弱性の深刻度を定性的・数値的に表すための標準的な指標です。NVDはCVSSについて、「脆弱性の重大度を示すための方法であり、リスクそのものを示すものではない」と明確に説明しています。つまり、CVSSが高いから必ず最優先、低いから後回しでよい、とは限りません。CVSSを確認するときは、まず「スコアの高さ」よりも「どういう条件で悪用されるか」に注目したほうが有効です。たとえば、ネットワーク経由で認証不要の攻撃が可能なのか、ローカル権限が必要なのか、ユーザ操作を伴うのかによって、現実の危険度は大きく変わります。

また同じCVSSでも、インターネットに公開された機器にある脆弱性と、閉域環境の限定的なシステムにある脆弱性では、優先度は異なります。NVDはCVSSv4.0をサポートしており*6、従来よりもきめ細かな評価が可能になっていますが、それでも「深刻度」と「自社のリスク」は同一ではありません。実際の脆弱性対応では、CVSSに加えて、公開状態、資産の重要度、業務影響、既存の緩和策、そして実悪用の有無まで見て判断する必要があります。特に、CISAのKEVカタログに掲載された脆弱性は、すでに悪用が確認されているという意味で、単なる理論上の脆弱性より一段重く扱うべきです。CVSSは脆弱性対応の出発点として有用ですが、最終判断は必ず自社環境に引きつけて行う必要があります。

脆弱性対応の手順

脆弱性対応の実務フローは、一般的に以下の流れで進みます。

脆弱性情報の収集
影響調査
優先順位決定
パッチ適用
再確認

まずに必要なのは、脆弱性情報を取りこぼさないことです。CVE、NVD、ベンダーのセキュリティアドバイザリ、クラウドベンダーの通知、CISAのKEVなどを継続的に確認し、自社に関係する情報を早めに捉える必要があります。CISAは、KEV Catalogを確認し、掲載された脆弱性の修正を優先することを強く推奨しています。

次に行うのが影響調査です。ここで重要になるのは、自社がどの資産を保有し、どのソフトウェアやクラウドサービスを利用しているかを把握していることです。脆弱性情報が公開されても、自社に対象製品があるかどうか分からなければ、対応そのものが始まりません。特にクラウド環境では、OSやミドルウェアだけでなく、コンテナイメージ、マネージドサービスの設定、アクセス権限なども確認対象になります。クラウドでは共有責任モデルが採用されており、利用企業が管理すべき範囲は依然として広く残ります。

三つ目は優先順位決定です。ここではCVSSだけでなく、インターネット公開の有無、認証要否、既知の悪用状況、業務停止時の影響、代替策の有無を踏まえて判断します。たとえば、CVSSが高くても外部到達性がなく緩和策が効いているものより、CVSSがそこまで高くなくても既知悪用されている公開資産の脆弱性のほうが先に対処すべき場合があります。NISTのパッチ管理ガイドでも、識別だけでなく優先順位付けと検証まで含めてプロセスとして扱うことが示されています。

その後に実施するのが修正です。多くの場合はパッチ適用やバージョン更新になりますが、常にそれだけではありません。ベンダー修正がまだ出ていない場合や、即時適用が難しい場合には、設定変更、アクセス制限、機能停止、ネットワーク分離、WAFやEDRなどによる補完策を検討する必要があります。CISAも、回避策はあくまで暫定手段であり、公式パッチが利用可能になったら移行するのが望ましいと案内しています。

最後に必要なのが再確認です。パッチを適用したつもりでも、適用漏れ、再起動未実施、対象誤認、別系統サーバーの取り残しなどは珍しくありません。NISTはパッチ管理の定義の中に「検証」を含めています。つまり脆弱性対応は、適用作業で終わりではなく、修正が有効に反映され、サービスへの悪影響がないことまで確かめて完了します。

クラウド環境では、OSやミドルウェアの更新だけでなく、クラウドサービスの設定やコンテナイメージの更新なども脆弱性対応に含まれます。また、近年はOSSライブラリに含まれる脆弱性が問題となるケースも増えています。SBOMを利用することで、自社システムに影響するOSS脆弱性を迅速に特定できます。NTIA（米国商務省電気通信情報局：National Telecommunications and Information Administration）はSBOMを「ソフトウェアを構成する各種コンポーネントとサプライチェーン上の関係を記録する正式な記録」と説明しています。ただし、公開されている脆弱性情報だけでは、自社のシステムにどの脆弱性が存在するのかを完全に把握することはできません。そのため多くの企業では、脆弱性スキャンツールや脆弱性診断を用いてシステムの安全性を確認します。

脆弱性スキャンの仕組みや診断方法については、以下の記事で詳しく解説しています。
「脆弱性スキャンとは？脆弱性診断ツールの選び方と導入ポイント」

パッチ管理のベストプラクティス

パッチ管理のベストプラクティスを考えるうえで大切なのは、パッチ適用を場当たり的な更新作業にしないことです。NISTはenterprise patch management（エンタープライズ向けパッチ管理）を、識別、優先順位付け、取得、適用、検証までを含むプロセスとして定義しています。この考え方に沿うなら、ベストプラクティスとは「早く当てること」だけではなく、「誰が、何を、どの順で、どこまで確認して実施するか」を事前に決めておくことになります。

まず重要なのは、資産台帳とパッチ対象の対応関係を明確にしておくことです。対象サーバー、業務端末、ネットワーク機器、クラウド上のワークロード、仮想マシン、コンテナイメージなどが整理されていなければ、どこにパッチを適用すべきか判断できません。NISTの実装ガイドでも、日常時と緊急時の両方に対応するには、資産把握とパッチ適用の仕組みが必要だと示されています。

次に欠かせないのが、テストと本番適用の切り分けです。重大な脆弱性だからといって、影響の大きい基幹系に無検証で更新をかけるのは危険です。一方で、テストに時間をかけすぎて攻撃されるのも問題です。したがって実務では、対象の重要度や公開状況に応じて、緊急パッチ、通常パッチ、代替策併用のように運用レベルを分ける設計が現実的です。CISAの資料でも、パッチ管理計画、テスト、バックアップ、ロールバックを含めた準備の重要性が示されています。

さらに、近年のパッチ管理ではOSSライブラリの更新管理が欠かせません。アプリケーション本体に問題がなくても、依存するライブラリやフレームワークに脆弱性があれば、そのままリスクになります。そこで有効なのがSCAやSBOMです。SBOMによって依存関係を把握しておけば、新たなCVEが出た際にも、どのアプリケーションに影響するかを迅速に調べやすくなります。これは、パッチ管理の対象をOSやミドルウェアだけでなく、ソフトウェア部品レベルまで広げるための実務的な方法です。

企業の脆弱性対応の失敗例

企業の脆弱性対応が失敗する典型例は、脆弱性情報を見ているのに、自社への影響確認ができないケースです。CVEを把握しても、対象製品のバージョンや設置場所、外部公開状況が分からなければ、優先順位も対策方針も決められません。結果として、「あとで確認しよう」と先送りされ、実際に攻撃が始まった時点で慌てて対応することになります。CISAがKEVカタログを継続公開しているのは、こうした遅れが実被害につながりやすいからです。

もうひとつ多いのは、CVSSスコアだけで機械的に対応順を決める失敗です。CVSSは重要な指標ですが、NVDでは「CVSSはリスクではない」と説明しています*2https://nvd.nist.gov/vuln-metrics/cvss。にもかかわらず、スコアの高さだけで判断すると、公開サーバー上で悪用が進む脆弱性より、閉域環境の理論上危険な脆弱性を優先してしまうことがあります。脆弱性対応では、深刻度、公開状態、悪用実績、業務影響を合わせて考える必要があります。

さらに、パッチを当てて終わりにしてしまうのも典型的な失敗です。適用漏れ、再起動忘れ、周辺システムの未更新、検証不足による障害発生などは珍しくありません。NISTがパッチ管理に「検証」を含めているのは、こうした現実があるからです。脆弱性対応は、修正したことを確認し、その結果を記録し、次回に再利用できる形で残して初めて組織の知見になります。

脆弱性管理との違い

脆弱性対応と脆弱性管理は、似ているようで役割が異なります。脆弱性対応は、個別の脆弱性が見つかったときに、影響を調べ、優先順位を付け、修正する実務です。一方の脆弱性管理は、その対応を継続的に回すための全体運用を指します。CISAが脆弱性管理を「脆弱性や悪用可能な状態の発生頻度と影響を減らすための活動」として示しているように、脆弱性管理は発見、評価、是正、確認を繰り返す仕組み全体です。脆弱性対応は、その中の重要な一工程だと考えると整理しやすくなります。

つまり、脆弱性対応は個別事案へのアクションであり、脆弱性管理はそれを支える土台です。資産台帳、情報収集ルール、優先順位基準、パッチ管理フロー、検証体制、記録・改善の仕組みが整っていなければ、脆弱性対応は属人的になり、毎回判断がぶれます。逆に、脆弱性管理が機能していれば、新しいCVEが出ても落ち着いて影響確認と対応判断を進めやすくなります。

IT資産管理と脆弱性管理の関係については、以下の記事で詳しく解説しています。
「脆弱性管理とIT資産管理 -サイバー攻撃から組織を守る取り組み-」

まとめ

脆弱性対応とは、CVE情報を確認して終わることでも、パッチを当てて終わることでもありません。脆弱性情報を収集し、自社への影響を調べ、CVSSや悪用状況、業務影響を踏まえて優先順位を決め、修正し、最後に再確認するまでが一連の流れです。特に、実悪用が確認された脆弱性を優先する視点、クラウドやOSSを含めて影響を判断する視点、SBOMやSCAを活用して依存関係を見える化する視点は、今の企業実務では欠かせません。

脆弱性対応を強くするには、単発の対応力ではなく、継続的に判断と是正を回せる仕組みが必要です。CVEを読む力、CVSSを鵜呑みにしない判断力、資産を把握する力、そしてパッチ管理を確実にやりきる運用力がそろって初めて、企業の脆弱性対応は実効性を持ちます。検索流入で「脆弱性対応」「CVE対応」「パッチ管理」を調べている担当者にとって重要なのは、知識だけでなく、明日から自社でどう動くかが見えることです。本記事がその整理の起点になれば幸いです。

【参考情報】

NIST（米国立標準技術研究所）,NIST SP 800-40 Rev. 4,Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology（https://csrc.nist.gov/pubs/sp/800/40/r4/final）
Common Vulnerabilities and Exposures（CVE.org）
（https://www.cve.org/）
NIST SPECIAL PUBLICATION 1800-31,Improving Enterprise Patching for General IT Systems: Utilizing Existing Tools and Performing Processes in Better Ways（https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.1800-31.pdf）
CISA（米サイバーセキュリティ・インフラセキュリティ庁）「Reducing the Significant Risk of Known Exploited Vulnerabilities」（https://www.cisa.gov/known-exploited-vulnerabilities）
CISA,Recommended Practice for Patch Management of Control Systems,December 2008（https://www.cisa.gov/sites/default/files/2023-01/RP_Patch_Management_S508C.pdf）

その他のウェビナー開催情報はこちら

BBSecでは

BBSecでは以下のようなご支援が可能です。お客様のご状況に合わせて最適なご提案をいたします。

自ステムの状態を知る

SQAT^®脆弱性診断サービス

アタックサーフェス調査サービス

編集責任：木下

Security NEWS TOPに戻る
バックナンバー TOPに戻る

年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

サービスに関する疑問や質問はこちらからお気軽にお問合せください。

2026年4月7日2026年5月7日

脆弱性管理とは？企業が行うべき脆弱性管理の基本と実践手順【2026年版】

企業のIT環境は、もはや社内サーバーやネットワーク機器だけで完結しません。業務システムはクラウドへ移行し、開発現場ではOSSの利用が当たり前になり、SaaSやコンテナ、API連携を含めた複雑な構成が一般化しています。こうした環境では、ひとつの脆弱性が単独の問題にとどまらず、情報漏えい、業務停止、サプライチェーン全体への影響へとつながることがあります。だからこそ今、多くの企業にとって重要になっているのが「脆弱性管理」です。

脆弱性管理とは、脆弱性を見つけることそのものではありません。自社にどの資産があり、どこに弱点があり、それがどの程度危険で、いつまでに何を直すべきかを継続的に判断し、実際に改善し続ける運用を指します。本記事では、脆弱性管理の基本から、企業が実務で押さえるべき流れ、ツールの考え方、クラウドやOSS時代に欠かせないSBOMの活用まで、2026年時点の実務に沿って整理します。

脆弱性管理とは

脆弱性管理とは、システムやソフトウェア、クラウド環境、ネットワーク機器などに存在するセキュリティ上の弱点を継続的に把握し、評価し、修正し、再確認する一連の運用です。単発の診断や一度きりの点検ではなく、変化し続けるIT環境に合わせて回し続けることに意味があります。CISAも、脆弱性管理を「脆弱性や悪用可能な状態の発生頻度と影響を減らす取り組み」と位置づけています。

脆弱性管理では、日々公開される脆弱性情報を継続的に確認することが重要です。多くの脆弱性は CVE（Common Vulnerabilities and Exposures） という識別番号で管理されています。CVEの仕組みについては、以下の記事で詳しく解説しています。
「CVEとは？脆弱性情報の共通識別番号を解説」

CVEは、公開されたサイバーセキュリティ上の脆弱性を識別し、共通の参照先として扱うための仕組みです。一方、NVDはそのCVE情報に対してCVSSなどの評価情報や関連データを付与し、脆弱性管理の自動化や優先順位付けに役立つデータベースとして機能しています。つまり実務では、「CVEで対象を識別し、NVDやベンダー情報で内容と深刻度を確認する」という流れが基本になります。

現在の企業システムは、オンプレミス環境だけでなく、AWS・Azure・Google Cloud などのクラウド環境やSaaSサービスを組み合わせて構築されるケースが増えています。そのため、脆弱性管理はサーバーやネットワークだけでなく、クラウド環境やソフトウェアコンポーネントも含めて実施する必要があります。クラウドでは、基盤の一部は事業者が管理していても、設定、アクセス権、ゲストOS、コンテナイメージ、アプリケーションなどは利用企業側の責任範囲に残るためです。AWS、Microsoft、Google Cloudはいずれも共有責任モデルを明示しており、利用者側の継続的な管理を前提にしています。

なぜ企業に脆弱性管理が必要なのか

企業に脆弱性管理が必要な最大の理由は、脆弱性が「見つかっただけの情報」ではなく、「実際に悪用される入口」になっているからです。公開された脆弱性のすべてが直ちに攻撃に使われるわけではありませんが、CISAは実際に悪用が確認された脆弱性を Known Exploited Vulnerabilities（KEV） Catalog として公開し、組織に優先対応を促しています。つまり現代の脆弱性管理では、公開情報を眺めるだけでなく、「いま悪用されているか」「自社に影響するか」を見極めることが重要です。

脆弱性を放置するリスクも明確です。攻撃者は、修正が遅れたVPN機器、公開サーバー、業務アプリケーション、ミドルウェア、コンテナ環境などを足がかりに侵入し、そこから権限昇格や横展開を進めます。問題は、重大な脆弱性があっても、自社資産を把握できていなければ「影響を受けているのに気づけない」ことです。脆弱性管理は、修正作業の前段として、自社に何が存在しているかを見える化する意味でも不可欠です。

さらに、近年はOSS利用の拡大によって、ソフトウェアサプライチェーン全体のリスク管理が重要になっています。NTIAはSBOMを、ソフトウェアを構成する各種コンポーネントとそのサプライチェーン上の関係を記録する正式な記録と説明しています。OSSライブラリや依存パッケージに脆弱性が含まれていた場合、アプリケーション本体に問題がなくても、企業システム全体に影響が及ぶ可能性があります。これが、いわゆるソフトウェアサプライチェーンリスクです。

クラウド利用の拡大も、脆弱性管理の必要性をさらに高めています。クラウド環境では、サーバーを一度構築して終わりではなく、構成変更、イメージ更新、コンテナ再配備、アクセス制御変更などが高頻度で発生します。そのため、脆弱性管理を継続的に実施しなければ、未更新のソフトウェアや脆弱なイメージ、設定不備がそのまま攻撃対象になる可能性があります。共有責任モデルのもとでは、クラウド事業者がすべてを守ってくれるわけではありません。自社が責任を持つ範囲を理解し、そこを継続的に点検する必要があります。

脆弱性管理の基本プロセス

脆弱性管理の基本プロセスは、一般に以下のような流れです。

脆弱性の発見
脆弱性評価
修正
検証

ただし実務では、前提としてソフトウェア資産の把握が欠かせません。なぜなら、何を保有しているか分からない状態では、脆弱性情報を受け取っても影響判断ができないからです。NVDのような脆弱性データベースは、脆弱性管理の自動化や評価に使える標準化データを提供していますが、それを生かすには自社資産との突合が必要です。

脆弱性の発見は、公開情報の確認だけでなく、スキャンツール、構成管理情報、ベンダーアドバイザリ、クラウドのセキュリティ機能など、複数の情報源を組み合わせて行います。次に必要になるのが評価です。ここではCVSSのような一般的な深刻度だけでなく、インターネット公開の有無、業務影響、悪用実績、代替策の有無、修正難易度などを踏まえて、自社にとっての優先度を決める必要があります。NVDも、CVSSは深刻度の定性的な指標であり、リスクそのものではないと明示しています。

その後、実際に修正を行います。修正方法は、パッチ適用、設定変更、バージョンアップ、アクセス制御の見直し、機能停止、ネットワーク遮断などさまざまです。最後に、修正後の検証を実施し、本当に脆弱性が解消されたか、別の不具合を生んでいないかを確認します。この「修正して終わりにしない」ことが、脆弱性管理を単なる作業ではなく運用として成立させるポイントです。脆弱性管理では、まず自社のIT資産を正確に把握することが重要です。対象にはサーバーやネットワークだけでなく、クラウド環境、利用しているOSSライブラリなども含まれます。

IT資産管理と脆弱性管理の関係については、以下の記事で詳しく解説しています。
「脆弱性管理とIT資産管理とは？サイバー攻撃から組織を守る取り組み」

近年では SBOM（Software Bill of Materials） を利用してソフトウェア構成を可視化する企業も増えています。SBOMは、ソフトウェアに何の部品が含まれているかを一覧化する考え方で、影響範囲の特定や依存関係の把握に有効です。
「SBOMとは？ソフトウェア部品表の基本と企業が導入すべき理由」

脆弱性管理のフロー（実務）

実務に落とし込むと、脆弱性管理の流れは以下のような順番で整理することができます。

脆弱性情報の収集
クラウド・OSSへの影響確認
優先度判断
修正
再確認

まず行うべきは、CVE、ベンダーアドバイザリ、クラウドベンダー通知、各種セキュリティ情報の収集です。ここで漏れがあると、そもそも対応のスタート地点に立てません。CISAは、実際に悪用が確認された脆弱性についてKEV Catalogの確認と優先的な是正を強く推奨しています。

次に必要なのが、収集した情報が自社環境に関係するかどうかの確認です。オンプレミス機器だけなら比較的見通しが立ちますが、現在はクラウド上のワークロード、コンテナ、OSSライブラリ、CI/CDで取り込んだ部品まで視野に入れなければ、実態を取り逃がします。とくにOSS脆弱性は、アプリケーション本体よりも深い依存関係に潜んでいる場合があり、SBOMやSCAの仕組みがないと把握が難しくなります。

優先度判断では、CVSSの高さだけで対応順を決めないことが重要です。CVSSは比較の基準になりますが、公開サーバーにあるのか、認証が必要なのか、すでに悪用実績があるのか、業務停止時の影響はどれほどかによって、実際の対応順は変わります。NVDもCVSSをリスクそのものではないと説明しており、KEVのような実悪用情報と組み合わせて判断するのが現実的です。

修正段階では、パッチ適用だけに視野を限定しないことが大切です。クラウド環境では、OSやミドルウェアの更新に加え、コンテナイメージの差し替え、設定変更、公開範囲の見直し、権限調整なども重要な対策になります。修正後は再スキャンや設定確認を行い、実際に解消されたことを確認します。ここで検証が不十分だと、「対応したつもり」で終わってしまい、後になって再発見されることがあります。

脆弱性管理では、脆弱性を発見するだけでなく、発見された脆弱性に対して迅速に対応することが重要です。適切な脆弱性対応を行わなければ、攻撃者に悪用され、情報漏えいやシステム停止などの重大なインシデントにつながる可能性があります。脆弱性対応の基本的な流れや実務での対応方法については、以下の記事で詳しく解説しています。
「脆弱性対応とは？CVE対応とパッチ管理の実務フロー」

近年ではクラウド環境やOSSライブラリに含まれる脆弱性の影響調査も重要になっています。SBOMを利用すると、影響範囲を迅速に把握できます。

脆弱性管理ツールの種類

脆弱性管理を実務で回すには、ツールの力を借りることが現実的です。ただし、ひとつの製品で全領域を完全にカバーできるとは限りません。一般的な脆弱性スキャナーは、ネットワーク機器、サーバー、OS、ミドルウェア、Webアプリケーションの既知脆弱性を見つけるのに有効ですが、OSSライブラリの依存関係やソフトウェア部品表までは十分に扱えないことがあります。そこで、管理ツール、クラウドセキュリティツール、SBOM管理ツール、SCAツールなどを役割ごとに組み合わせる設計が必要になります。

たとえば、CSPMやCNAPPのようなクラウド向けツールは、クラウド設定やワークロードの状態を継続的に可視化するのに向いています。一方、SCAはアプリケーションが依存しているOSSコンポーネントを洗い出し、既知脆弱性との突合を支援します。SBOM管理ツールは、その構成情報を継続管理し、影響調査を効率化する役割を持ちます。2026年の脆弱性管理では、ネットワークやサーバーだけを見ていても不十分で、クラウドとソフトウェアサプライチェーンまで含めた多層的な可視化が必要です。

OSSの脆弱性を管理するために、SCA（Software Composition Analysis）ツールやSBOM管理ツールを導入する企業も増えています。これは、ソフトウェアの構成部品とその依存関係を可視化しなければ、OSS由来の脆弱性が自社に影響するかどうかを迅速に判断しにくいためです。NTIAも、SBOMをソフトウェア構成要素の透明性向上に役立つ仕組みとして整理しています。

SCA（Software Composition Analysis）ツールとは
ソフトウェアに含まれるオープンソースや外部ライブラリの構成要素を解析し、既知の脆弱性やライセンスリスクを可視化するセキュリティツールです。依存関係を自動的に検出し、CVEなどの脆弱性データベースと照合することで、潜在的なリスクを早期に特定できます。また、ライセンス違反の有無も確認でき、コンプライアンス対応にも有効です。開発プロセスに組み込むことで、セキュアで安全なソフトウェア開発を支援します。

脆弱性スキャンについてはこちらの記事でも詳しく解説しています。
「脆弱性スキャンとは？脆弱性診断ツールの選び方と導入ポイント」

企業の脆弱性管理の課題

多くの企業が脆弱性管理に苦労する理由は、脆弱性そのものより、管理対象の広がりにあります。

IT資産の把握

まず大きいのが、IT資産の把握が難しいことです。クラウド移行、テレワーク、SaaS利用、部門独自導入のツール、コンテナ活用が進むと、情報システム部門が把握していない資産が生まれやすくなります。この状態では、脆弱性情報を受け取っても、自社への影響有無を正確に判断できません。

OSS依存関係の管理

現代のソフトウェアは、直接導入しているライブラリだけでなく、その下位の依存関係にも数多くの部品を抱えています。表面的には安全に見えても、深い階層に脆弱なコンポーネントが含まれていることは珍しくありません。

SBOMの未整備

SBOMが未整備だと、こうした影響範囲調査に時間がかかり、対応の遅れにつながります。

クラウド環境の可視化不足

クラウドでは、責任分界が従来のオンプレミスとは異なり、サービス形態によって利用者側の責任範囲が変わります。そのため、「クラウド事業者が面倒を見ているはず」と誤解してしまうと、更新漏れや設定不備を放置しやすくなります。共有責任モデルを前提に、自社の管理範囲を明確にしなければ、脆弱性管理は形骸化します。

OSS利用時に重要な脆弱性管理（SBOMの活用）

OSSの活用は、開発効率や品質向上の面で大きなメリットがありますが、その一方で脆弱性管理を複雑にします。理由は明快で、企業が自分で一から書いていないコードであっても、最終的に自社サービスや製品の一部として責任を負うからです。OSS由来の脆弱性は、アプリケーション本体ではなく依存パッケージに潜んでいることも多く、目視や台帳だけで追いきるのは現実的ではありません。

ここで重要になるのがSBOMです。NTIAはSBOMを、ソフトウェアを構成する各種コンポーネントとサプライチェーン上の関係を記録する正式な記録と定義しています。これを整備しておけば、新たな脆弱性が公表された際に、「自社のどのシステムに、その部品が含まれているか」を調べやすくなります。結果として、影響調査の初動が速くなり、不要な全件調査や属人的な確認作業を減らせます。

SBOMは、単に監査対応のために作る資料ではありません。脆弱性管理の実務で使えてこそ意味があります。たとえば、SCAツールで依存関係を検出し、その情報をSBOMとして管理し、脆弱性公表時に突合するという流れが定着すれば、OSS脆弱性への対応速度と精度を高めやすくなります。今後の企業システムでは、OSS利用時の脆弱性管理をSBOM抜きで考えることは難しくなっていくでしょう。

脆弱性管理を効率化する方法

脆弱性管理を効率化する方法はいくつかあります。

資産管理の自動化

資産台帳を手作業で維持する運用では、クラウドやコンテナ、SaaSの増減に追いつけません。CMDB、クラウド資産可視化、ID管理、EDRやMDMの情報などを組み合わせて、現時点の資産情報を継続的に更新できる状態を目指す必要があります。資産情報が整えば、脆弱性情報との突合精度も上がります。

OSS脆弱性監視

OSS脆弱性監視の仕組みを作ることも重要です。開発時点だけでなく、運用中のアプリケーションについても、依存ライブラリの脆弱性を継続監視しなければなりません。脆弱性管理をインフラ部門だけの仕事にせず、開発部門やDevOps運用の中に組み込むことが、今の実務では不可欠です。

SBOMによるソフトウェア構成管理

SBOMによるソフトウェア構成管理を取り入れることで、影響調査の速度と精度をさらに高められます。SBOMが整っていれば、新たなCVEが公表された際にも、対象ソフトウェアの所在確認を短時間で進めやすくなります。加えて、KEVのような実悪用情報を監視し、CVSSだけでなく悪用実績も含めて優先順位を決める運用にすれば、限られた人員でも効果的に対応しやすくなります。脆弱性管理を効率化するとは、単にツールを増やすことではなく、「見つける」「判断する」「直す」を早く回せる仕組みへ変えることです。

まとめ

脆弱性管理とは、脆弱性を発見する作業ではなく、自社のIT資産、クラウド環境、OSSコンポーネントを継続的に把握し、影響を判断し、優先順位をつけて修正し、再確認する運用そのものです。2026年の企業環境では、オンプレミスだけを見ていては不十分で、クラウド、SaaS、コンテナ、OSSまで含めた視点が欠かせません。とくに、実際に悪用される脆弱性への対応と、SBOMを活用したソフトウェア構成の可視化は、これからの脆弱性管理の重要な柱になります。

まず取り組むべきなのは、完璧な仕組みを一気に作ることではなく、自社の資産を洗い出し、脆弱性情報を収集し、優先度を判断し、修正後に確認するという基本サイクルを止めずに回すことです。そのうえで、クラウド可視化、SCA、SBOM管理などを段階的に取り入れていけば、脆弱性管理は現場で機能する実践的な仕組みに育っていきます。

その他のウェビナー開催情報はこちら

BBSecでは

BBSecでは以下のようなご支援が可能です。お客様のご状況に合わせて最適なご提案をいたします。

自ステムの状態を知る

SQAT^®脆弱性診断サービス

アタックサーフェス調査サービス

編集責任：木下

Security NEWS TOPに戻る
バックナンバー TOPに戻る

年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

サービスに関する疑問や質問はこちらからお気軽にお問合せください。

2026年3月13日2026年3月31日

セキュリティ運用とは？属人化を防ぎ継続的に回す基本の考え方

セキュリティ運用とは、セキュリティ対策を導入することではなく、脆弱性情報の確認、設定管理、インシデント対応、見直しといった活動を継続的に回し続ける組織的な取り組みを指します。単発の対策ではなく、変化する環境に合わせて安全性を維持する仕組みである点が特徴です。本記事では、企業におけるセキュリティ運用支援およびインシデント対応の実務知見をもとに、一般的に公開されているセキュリティ運用の考え方を整理します。特定製品への依存を避け、組織運用の観点から解説しています。

セキュリティ運用が重要になる背景には、インシデント発生時の初動対応や判断の難しさがあります。インシデント対応の全体像については以下の記事で整理されています。
「セキュリティインシデントの基礎から対応・再発防止まで第1回：セキュリティインシデントとは何か？基礎知識と代表的な事例」

セキュリティ運用とは、セキュリティ対策を導入した状態を維持し続ける活動ではなく、「変化し続ける環境に合わせて安全性を更新し続ける仕組み」を指します。多くの企業がセキュリティ製品やルールを導入しているにもかかわらず事故を防ぎきれない背景には、この“運用”という視点の不足があります。

近年、「セキュリティ運用とは」「セキュリティ運用体制」「セキュリティ属人化」といった検索が増加しているのは、セキュリティが技術課題ではなく組織運営の問題として認識され始めているためだと考えられます。導入した対策は時間とともに環境とのズレが生じるため、継続的な判断と見直しが不可欠になります。

なぜ今「セキュリティ運用」が課題になるのか

セキュリティ事故の多くは、対策が存在しなかったことよりも、存在していた対策が適切に機能していなかったことによって発生します。これは珍しい現象ではなく、環境変化に対して運用が追いつかなくなることで起きます。システム構成は更新され、利用者は増減し、クラウド設定や権限は日常的に変化します。その一方で、セキュリティ対策は導入時点の前提を基準に設計されていることが多く、継続的に見直されなければ現実との乖離が生まれます。

提供された文脈に基づくと、現在は「何を導入するか」を議論する段階から、「導入したものをどう回し続けるか」を考える段階へ移行していると整理できます。つまりセキュリティはプロジェクトではなく、継続業務として扱われる必要があります。

セキュリティ運用が属人化する典型パターン

セキュリティ運用の失敗要因として頻繁に挙げられるのが属人化です。特定の担当者のみが状況を理解し、判断基準が共有されていない状態では、運用は組織の能力ではなく個人の努力に依存します。現場では「経験がある人が対応した方が早い」という合理的判断から属人化が進みます。しかし手順や判断理由が記録されないまま時間が経過すると、異動や退職が発生した際に運用が再現できなくなります。

セキュリティ属人化の本質は、知識不足ではなく再現性不足です。誰が担当しても同じ方向の判断ができる状態を作ることが、セキュリティ運用体制の出発点になります。

セキュリティ運用とは「何を回すこと」なのか

セキュリティ運用とは単一の業務ではなく、複数の活動が循環する状態を意味します。代表的なのは、脆弱性情報の収集と評価、インシデント対応、設定および権限管理、そして教育や見直しです。脆弱性情報は継続的に公開されるため、影響評価と対応判断を繰り返す必要があります。インシデント対応では、検知から初動判断、復旧、再発防止までが一連の流れとして維持されます。設定管理では変更がリスクにならないよう追跡可能性が求められます。さらに教育やルール更新がなければ、人の行動が新しい脅威に適応できません。これらは独立した作業ではなく、相互に影響し合う循環構造として理解する必要があります。運用の全体像を地図として把握することが、部分最適によるリスク増大を防ぐ第一歩になります。

セキュリティ運用の中でも、脆弱性をどう管理し続けるかは重要な要素です。単発で終わらせない考え方については、次の記事も参考になります。
「脆弱性対応の優先順位と判断基準―限られたリソースでリスクを下げる考え方」

属人化しないセキュリティ運用の基本原則

属人化を防ぐために必要なのは、複雑な仕組みよりも基本原則の明確化です。まず重要なのは判断基準を定義することです。どのリスクを優先するかが共有されていなければ、対応品質は担当者によって変わります。次に記録の存在が運用を支えます。対応履歴は単なる報告ではなく、将来の判断を支える知識資産になります。そして運用は固定されたものではなく、定期的な見直しによって初めて現実に適応し続けます。提供された構成意図に基づくと、セキュリティ運用とは高度化よりも継続性を優先する活動だと整理できます。

運用体制は完璧でなくてよい

セキュリティ運用体制という言葉から大規模な専門組織を想像することがありますが、必ずしもそれが出発点になるわけではありません。重要なのは組織規模に適合した運用です。理想的な体制設計を目指して準備だけが進み、実際の運用が開始されない状態は現場では珍しくありません。むしろ小さく始め、実際に回る形を作ることが現実的なアプローチになります。運用が継続されることで課題が可視化され、体制は後から改善できます。逆に、回らない設計はどれほど理想的でも機能しません。

セキュリティ運用とは「判断を継続する仕組み」である

セキュリティ運用とは、新しい対策を増やし続けることではなく、判断と改善を繰り返す仕組みを維持することです。属人化を防ぐとは担当者を排除することではなく、判断基準と知識を組織へ移すことを意味します。提供された文脈に基づくと、セキュリティの成熟度はツール数ではなく、運用が継続しているかどうかによって左右されます。仕組みとして回り始めたとき、セキュリティは個人の努力から組織の能力へと変化します。

セキュリティ運用とは何かという問いは、技術の話であると同時に、組織がどのように意思決定を継続するかという問いでもあると言えるでしょう。

FAQ

▼セキュリティ運用とは具体的に何をすることですか？

▼セキュリティ運用は小規模企業でも必要ですか？

▼外部委託すればセキュリティ運用は不要になりますか？

ここまで整理してきた内容から見えてくるのは、セキュリティ運用とは特別なプロジェクトではなく、日常業務の中に組み込まれる意思決定プロセスであるという点です。しかし現場では、「具体的に何から始めるべきか」という問いが必ず生まれます。守る対象の整理、優先順位の設定、最小単位の運用設計など、実務的な整理が必要になります。

では、具体的にセキュリティ運用は何から始めればよいのでしょうか。実務レベルでの進め方については、次の記事で詳しく解説します。
「セキュリティ運用は何から始めるべきか担当者が最初に整理すべきポイント」

BBSecでは

委託先が関係する情報漏えいでは、自社だけで完結する対応はほとんどありません。複数の関係者が絡むからこそ、事前の整理や体制づくりが結果を大きく左右します。ブロードバンドセキュリティ（BBSec）では、サプライチェーン全体を前提としたインシデント対応体制の整理や、外部起因の事故を想定した初動対応の支援を行っています。「起きてから考える」のではなく、「起きる前提で備える」ことが、これからの企業に求められる姿勢です。もし、委託先を含めた情報管理やインシデント対応に不安を感じている場合は、一度立ち止まって体制を見直すことが、将来のリスクを減らす確かな一歩になるでしょう。

セキュリティ運用サービス（BBSec）

慎重かつ堅実な継続的作業を求められるセキュリティ運用を、セキュリティのプロフェッショナルが24時間・365日体制で支援いたします。
詳細はこちら
※外部サイトへリンクします。

編集責任：木下

Security NEWS TOPに戻る
バックナンバー TOPに戻る

年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

サービスに関する疑問や質問はこちらからお気軽にお問合せください。

2026年3月11日2026年3月11日

OWASP Top 10 2025：OWASP Top 10 2021からの変更点と企業が取るべきセキュリティ強化ポイント

Security NEWS TOPに戻る
バックナンバー TOPに戻る

OWASP Top 10はWebアプリケーションの主要なセキュリティリスクをまとめた世界的な基準です。2025年版では、ソフトウェアサプライチェーンに起因する問題や例外処理の不備など、新たなリスク項目が追加され、順位も変動しています。本記事ではこれらの新しい動向も踏まえ、各項目を平易に解説し、企業が取るべきセキュリティ対策の方向性を提示します。

はじめに

2025年11月、国際的なセキュリティ啓発コミュニティであるOWASP（オワスプ：Open Web Application Security Project）から、「OWASP Top 10 2025」が公開されました。前回の「OWASP Top 10 2021」より4年ぶりの公開となります。本記事ではOWASP Top 10 2025から追加された新たなリスク項目や順位変動を踏まえ、企業が取るべきセキュリティ対策の方向性を提示します。

OWASP Top 10とは

Webアプリケーションの代表的なセキュリティリスクをまとめた国際的なガイドラインで、意識向上を目的とする啓発資料です。全てのセキュリティ要件を網羅する標準というより、優先的な対策項目を示すリストと考えます。

OWASP Top10は、Webアプリケーションに存在する代表的な脆弱性をまとめた指標です。脆弱性とは、システムやソフトウェアに存在するセキュリティ上の弱点のことを指します。
→ 「脆弱性の意味を正しく理解する―読み方・具体例・種類をわかりやすく解説」

OWASP Top 10 2025の特徴

今回の「OWASP Top 10 2025」では、ソフトウェア開発の全工程にわたる新しいリスクが反映されました。特に、依存ライブラリやCI/CD環境を含む「ソフトウェアサプライチェーンの不備」や、「例外処理（エラー処理）の不備」という2つの新カテゴリが追加されています。これにより、従来のコード脆弱性に加え、開発・運用プロセス全体に起因するリスクが明確に強調されました。

また、2021年版まで独立項目だった「サーバーサイドリクエストフォージェリ（SSRF）」はA01（アクセス制御）に統合され、権限回避系の攻撃に含まれるようになっています。

OWASP Top 10の概要、「OWASP Top 10 2021」のリスク項目一覧について、以下の記事で解説しています。あわせてぜひご覧ください。
OWASP Top 10―世界が注目するWebアプリケーションの重大リスクを知る―

OWASP Top 10 2021からの主な変更点

A01: アクセス制御の不備 (Broken Access Control)

引き続き1位です。従来のアクセス制御不備に加え、サーバーサイドリクエストフォージェリ（SSRF）攻撃がこのカテゴリに含まれるようになりました。

A02: セキュリティ設定のミス (Security Misconfiguration)

2021年5位から2025年2位に上昇しました。サーバやアプリの初期設定ミスや不要なサービス公開など、設定不備のリスクが増加しています。

A03: ソフトウェアサプライチェーンの不備 (Software Supply Chain Failures)

2021年版のA06「脆弱で古くなったコンポーネント」から大幅に拡張され、2025年版に新設されたカテゴリです。依存パッケージやビルド環境への攻撃を含み、開発～配布の全過程におけるマルウェア侵入のリスクを扱います。

A04: 暗号化の失敗 (Cryptographic Failures)

前回2位から今回は4位に下降しました。古い暗号方式や不適切な暗号設定によって、機密データ漏洩のリスクが引き続き高い項目です。

A05: インジェクション (Injection)

前回3位から5位に下降しました。依然として多く検出されるリスクですが、他カテゴリの変動により相対的に順位が変わりました。

A06: セキュアでない設計 (Insecure Design)

2021年に新設された項目で、前回4位から6位になりました。設計段階でセキュリティを考慮しないことによるリスクを指し、脅威モデル不足などが該当します。最近は設計レビューや脅威モデルの導入が増えつつあります。

OWASP Top 10 2021およびセキュアなWebアプリケーション開発にむけてどのように取り組むべきかについて、以下の記事で解説しています。あわせてぜひご覧ください。
Webアプリケーション開発プロセスをセキュアに ―DevSecOps実現のポイント―

A07: 認証の失敗 (Authentication Failures)

名称が「識別と認証の不備」から若干変更され、順位は7位で維持されました。ログイン機能やパスワード管理の不備などが含まれ、標準的な認証フレームワークの利用増加でやや改善傾向にあります。

A08: ソフトウェアとデータの整合性の不備(Software or Data Integrity Failures)

前回同様8位です。ソフトウェア更新時やデータ伝送時の改ざん検知の欠如を扱い、サプライチェーンより下層でのデータ改ざんリスクが対象です。

A09: ログ監視・アラートの不備 (Logging & Alerting Failures)

同じく9位を維持しました。ログ監視や侵入検知の仕組みが不十分で、攻撃検知が遅れるリスクを指します。名称も「セキュリティログとモニタリングの不備」から変更されています。

A10: 例外処理の不備 (Mishandling of Exceptional Conditions)

2025年に新設された新しいカテゴリです。エラー発生時の不適切な処理（例：内部情報露出やセーフティネットの欠如）により、システム全体の安全性が損なわれるリスクを扱います。

OWASP Top 10 2025のリスク項目詳細解説

A01: アクセス制御の不備 (Broken Access Control)

攻撃者が本来許可されていない操作やデータにアクセスできる脆弱性です。例として、URLやパラメータを操作して他ユーザーの情報を取得したり、管理者権限を取得したりする攻撃が挙げられます。

A02: セキュリティ設定のミス (Security Misconfiguration)

システムやアプリの初期設定・構成に誤りがある状態です。脆弱なデフォルト設定や、不要なサービスの有効化、パッチ未適用のサーバ起動などにより、本来防げる攻撃を許してしまいます。

A03: ソフトウェアサプライチェーンの不備 (Software Supply Chain Failures)

外部ライブラリやパッケージ管理システムが攻撃され、正規ソフトウェアにマルウェアが混入するリスクです。開発者の環境やCI/CDパイプラインを介して侵入するため、従来型のコード診断だけでは検知しづらい問題となっています。

A04: 暗号化の失敗 (Cryptographic Failures)

古い暗号方式や誤った暗号設定によって、暗号化すべきデータの機密性が損なわれるリスクです。例えば、弱い鍵長の使用や最新プロトコルの不採用により、攻撃者に通信内容を解読される危険があります。

A05: インジェクション (Injection)

ユーザ入力を十分に検証せずにSQL文やOSコマンド等に含めて実行することで、不正なコードが実行される脆弱性です。SQLインジェクションやクロスサイトスクリプティング（XSS）などが代表例で、攻撃者がデータベース改ざんやセッションハイジャックを実行します。

A06: セキュアでない設計 (Insecure Design)

設計段階でセキュリティが考慮されておらず、必要な防御策（脅威モデルやセキュアアーキテクチャ）が欠落しているリスクです。実装以前の段階で脆弱性を取り除かないと、後工程では完全対応できない欠陥を内包します。

A07: 認証の失敗 (Authentication Failures)

ログインやセッション管理に欠陥があり、不正ログインを許してしまう脆弱性です。例えば、パスワードポリシー不備やセッションIDの固定化、二要素認証不備などにより、攻撃者が他人の権限を奪取する可能性があります。

A08: ソフトウェアとデータの整合性の不備(Software or Data Integrity Failures)

ソフトウェア更新やデータ取得時に改ざんを検知できない状態で、不正なコードやデータが実行されてしまうリスクです。例えば、更新ファイルやコンテナイメージが攻撃者によって差し替えられても気づかない場合が該当します。

A09: ログ監視・アラートの不備 (Logging & Alerting Failures)

インシデント発生時に監査ログが残らない、またはアラートが機能しない状態で、攻撃を見逃してしまうリスクです。攻撃検知や対策対応が遅れるため、被害が拡大する可能性があります。

A10: 例外処理の不備 (Mishandling of Exceptional Conditions)

エラー・例外発生時に適切な対処がされず、システムが想定外の動作をしたり機密情報を漏洩したりする脆弱性です。具体例として、エラーメッセージで内部情報を出力するものや、例外処理のループ抜けでシステム停止しないなどがあります。

OWASP Top 10 2025で注目すべきポイント

サプライチェーンリスクの急浮上
例外処理カテゴリの新設が示す業界動向
コード脆弱性から“開発プロセスの安全性”への時代変化

OWASP Top 10 2025は、従来の入力検証など個別コード脆弱性に加え、サプライチェーンや設計、例外処理といったシステム全体に関わる根本原因を重視しています。企業はこれを踏まえ、開発プロセスや設計段階からの脆弱性予防策を強化する必要があります。

企業が取るべき対応（例）

開発プロセス全体のセキュリティレビュー
サプライチェーン管理の強化
設計段階のセキュリティ確保（脅威モデリング等）
ログ・アラート体制の見直し

情報システム部門やセキュリティ担当者は、今回のリスク項目をセキュリティ教育・セキュリティ診断・セキュリティ監査項目に組み込み、継続的な対策に活用しましょう。特にサプライチェーンや例外処理の項目は従来対応が十分でないことも多く、注力すべきポイントです。

まとめ

OWASPはTop 10に加え、SAMMやASVSなどのフレームワーク活用も推奨しています。OWASP Top 10は優先対策項目の一助と位置付け、組織全体のセキュリティ成熟度を高める施策を並行して検討することが望まれます。

脆弱性診断の活用

では、意図せず作りこまれてしまう脆弱性に、どう対処すればいいでしょうか。それには脆弱性診断を実施することが、最も有効な手段の一つと言えます。

脆弱性診断によって、システムにどのような脆弱性があり、どの程度のリスクがあるのか可視化され、その優先度に応じてセキュリティ対策を検討・実施することができます。

脆弱性診断を効果的に活用するには、システムの機能や取り扱う情報の重要度に応じて、実施時期や頻度を考慮することも大切です。セキュリティ事情は常に変化しています。日々新たな脆弱性が発見され、サイバー攻撃も巧妙化する一方です。また、何年も前に報告されたのに放置されがちな脆弱性が、改めて悪用されることもあります。健康診断と同様、脆弱性診断も定期的に実施することが重要なのです。

また、「SQAT^® Security Report」では、セキュリティ事情に関するトピックをお伝えしております。情報収集の一助としてご活用ください。

【参考情報】

OWASP Top 10 2025リリースノート／Aikidoブログ（https://www.aikido.dev/blog/owasp-top-10-2025-changes-for-developers#:~:text=OWASP%20emphasizes%20that%20the%20Top,Application%20Security%20Verification%20Standard）

BBSecの脆弱性診断サービス

弊社では、お客様のニーズに合わせて、様々な脆弱性診断サービスを提供しております。システムの特徴やご事情に応じてどのような診断を行うのが適切かお悩みの場合も、ぜひお気軽にご相談ください。

「毎日/週など短いスパンで定期診断して即時に結果を知りたい」

デイリー自動脆弱性診断「Cracker Probing-Eyes^®」は、脆弱性の検出結果を、お客様側での簡単な操作で、日々確認できます。導入のための設備投資が不要で、コストを抑えつつ手軽に診断できます。世界的なセキュリティ基準をベースにした弊社独自基準を設け、シグネチャの見直しも弊社エンジニアが定期的に行うことで、信頼性の高い診断を実現しております。

「システム特性に応じた高精度な診断をしたい」

対象システムの機能が複雑である、特にミッションクリティカルであるなどの理由により、広範囲かつより網羅性の高い診断をご希望の場合は、弊社エンジニアが手動で実施する「SQAT^®脆弱性診断サービス」をおすすめします。

Webアプリケーション、ネットワークはもちろんのこと、ソースコード診断やクラウドの設定に関する診断など、診断対象やご事情に応じて様々なメニューをご用意しております。

公開日：2025年12月5日
更新日：2026年3月11日

編集責任：木下

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2026年3月10日2026年3月10日

緊急パッチ適用の判断基準 ―業務影響を抑えるにはどうすべきか―

脆弱性情報が公開されると、「これは緊急で対応すべきか」「業務に影響が出ても今すぐ当てるべきか」と判断に迷う場面は少なくありません。本記事では、企業が緊急パッチ対応を判断する際に押さえるべき考え方と、業務影響を抑えながら対応するための実務的な基準を整理します。

緊急パッチとは何か

緊急パッチとは、一般的に被害が急速に拡大する可能性がある脆弱性に対して、迅速な適用が求められる更新を指します。

緊急対応が本当に必要なケース

次の条件が重なる場合、即時の緊急パッチ適用を優先すべきでしょう。

外部公開されており、第三者が認証なしでアクセスできる
すでに攻撃事例や攻撃コード（PoC）が公開されている
悪用された場合、業務停止や情報漏えいに直結する

このようなケースでは、業務影響よりも被害拡大を防ぐことを優先する判断が必要になります。

様子見や計画対応が許容されるケース

一方で、次のような条件であれば、即時のパッチ適用が必須でない場合もあります。

内部ネットワーク限定で利用されている
該当機能が業務上使われていない
一時的な設定変更や回避策でリスクを下げられる
影響範囲が限定的で、検証なし適用のリスクが高い

このような場合は、この場合、影響範囲を確認したうえで、計画的な対応とする判断も現実的といえます。

業務影響を考慮した判断のポイント

緊急パッチ対応では、技術的な危険度だけでなく、次の視点も欠かせません。

パッチ適用によるサービス停止の可能性
業務時間帯への影響
切り戻し（ロールバック）が可能か
利用部門への影響や調整コスト

「セキュリティ上正しい」判断と「業務として現実的」な判断のバランスを取ることが重要です。

緊急パッチ適用の運用フロー（例）

実務では、次のような流れで判断すると整理しやすくなります。

脆弱性の概要把握
対象システム、影響範囲、攻撃条件を確認
自社環境への影響評価
公開範囲、利用状況、業務影響を整理
暫定対応の検討
設定変更やアクセス制御で回避できるか
適用タイミングの決定
即時／夜間／定例メンテナンスなどを判断

このように段階的に考えることで、判断の属人化を防ぐことができます。

緊急パッチ適用の判断は、単独で行うものではありません。
脆弱性対応の優先順位：脆弱性対応全体の考え方―全体の中での位置づけ
CVSSスコア：技術的な深刻度の把握
本記事：実務での最終判断

これらを総合的に判断した結果、より合理的な対応が可能になります。

まとめ

緊急パッチ適用で重要なのは、“急ぐべきかどうかを正しく判断すること” です。

攻撃されやすさと影響度を確認する
業務影響とリスクを比較する
回避策や段階対応も選択肢に入れる

この視点を持つことで、緊急パッチ対応は場当たり的な作業ではなく、管理されたセキュリティ運用に変わるのです。

次に読むべき記事

サイバーインシデント緊急対応

Security NEWS TOPに戻る
バックナンバー TOPに戻る

年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

サービスに関する疑問や質問はこちらからお気軽にお問合せください。

パッチ適用の優先順位をつけるための3つの要素

アセットが置かれている環境

アセットが攻撃を受けた場合に事業継続性に与える影響

アセットが攻撃を受けた場合に社会や社内に対して与える影響

SSVCとは

SSVCの3つのモデル

SSVCで得られるプライオリティ付けの結果

脆弱性が持つ要素

自動化の可能性

悪用の状況

まとめ ～CVSSとSSVCの活用～

ウェビナー開催のお知らせ

Youtubeチャンネルのご案内

はじめに

2026年1Qの統計データ概要

主要ベンダー別の内訳

脆弱性タイプ（CWE）の分布

攻撃の自動化容易性（Automatable）

技術的影響範囲（Technical Impact）

CVSSスコア分布

実際にランサムウェア攻撃に悪用された脆弱性

前回四半期との比較

注目の個別脆弱性ケーススタディ

Cisco ― CVE-2026-20131

BeyondTrust ― CVE-2026-1731

SmarterMail

Trivy

影響評価とリスク優先度付け

まとめ

アタックサーフェス調査サービス

サイバーインシデント緊急対応

はじめに

SBOMとは

なぜ今SBOMが注目されているのか

SBOMで分かること

SBOMとOSS脆弱性管理の関係

SBOMの代表的な形式と標準

企業がSBOMを導入すべき理由

SBOM導入時の課題

まとめ

SQAT®脆弱性診断サービス

アタックサーフェス調査サービス

CVE-2026-3055が注目される背景（CitrixBleedとの関連）

CVE-2026-3055の概要

影響を受ける製品とバージョン

CVE-2026-3055はKEVカタログ登録済みの脆弱性

CVE-2026-3055が「CitrixBleed 3」と呼ばれる理由

悪用された場合のリスク

企業がまず確認すべきポイント

対応方針：アップデートが最優先

侵害有無の確認方法

なぜ境界装置は狙われるのか

脆弱性管理で求められる実務対応

この脆弱性から学ぶべきポイント

まとめ：CVE-2026-3055への対応ポイント

脆弱性スキャンとは

脆弱性診断との違い

脆弱性スキャンの種類

Webスキャン

ネットワークスキャン

クラウドスキャン

脆弱性スキャナーの比較

脆弱性スキャン導入のポイント

導入目的の明確化

導入後の運用体制の整備

資産管理との連携

脆弱性診断・ペネトレーションテストとの併用

脆弱性管理との関係

まとめ

SQAT®脆弱性診断サービス

アタックサーフェス調査サービス

脆弱性対応とは

CVEとは

CVSSスコアの見方

脆弱性対応の手順

パッチ管理のベストプラクティス

企業の脆弱性対応の失敗例

脆弱性管理との違い

まとめ

SQAT®脆弱性診断サービス

まとめ　～CVSSとSSVCの活用～

SQAT^®脆弱性診断サービス

SQAT^®脆弱性診断サービス

SQAT^®脆弱性診断サービス

SQAT^®脆弱性診断サービス