セキュリティパッチ管理

運用中のシステムに対して、セキュリティパッチやアップデートを計画的に適用・管理するプロセス。パッチの公開情報の監視、影響範囲の評価、テスト環境での検証、本番適用、適用後の動作確認までの一連の手順を含む。緊急パッチの即時適用体制も重要となる。

脆弱性情報の収集から対策の実施までの一連のプロセス。脆弱性情報の入手、影響度の評価、優先度の決定、パッチ適用やワークアラウンドの実施、対応状況の記録を含む。脆弱性修正プログラムの適用基準の策定が重要。

ソフトウェア等の脆弱性情報を適切にハンドリングするための官民連携の枠組み。発見者がIPAに届出を行い、JPCERT/CCが開発者との調整を行った上で、JVNを通じて脆弱性情報を公開する。

組織のネットワークやシステムを24時間365日監視し、セキュリティインシデントの検知・分析を行う専門施設・チーム。SIEM等のツールを用いてログやアラートを集約・相関分析し、インシデントの早期発見とCSIRTへのエスカレーションを担う。

ソフトウェアを構成するコンポーネント（ライブラリ、モジュールなど）の一覧とその依存関係を記録したリスト。サプライチェーンにおけるソフトウェアの脆弱性管理に活用され、脆弱性が発見された際の影響範囲の特定を迅速化する。

プログラムが確保したバッファ（メモリ領域）の境界を超えてデータを書き込むことで、隣接するメモリ領域を破壊する脆弱性。スタック上のリターンアドレスを書き換えて任意のコードを実行される可能性がある。対策としてバッファサイズのチェック、安全な関数の使用、ASLR、DEP/NXビットの活用がある。