IT用語帳

脆弱性ハンドリング

Vulnerability Handling

ぜいじゃくせいはんどりんぐ

脆弱性情報の収集から対策の実施までの一連のプロセス。脆弱性情報の入手、影響度の評価、優先度の決定、パッチ適用やワークアラウンドの実施、対応状況の記録を含む。脆弱性修正プログラムの適用基準の策定が重要。
脆弱性運用プロセスセキュリティ
情報及び情報システムの利用におけるセキュリティ対策の適用の推進又は支援に関すること > 脆弱性への対応

関連キーワードの用語

SCセキュリティパッチ管理

ソフトウェアやOS等の脆弱性を修正するパッチの適用を管理するプロセス。パッチの情報収集、影響評価、テスト、適用、検証を計画的に行い、製品・サービスのセキュアな導入・運用を維持する。

SCパッチマネジメント

運用中のシステムに対して、セキュリティパッチやアップデートを計画的に適用・管理するプロセス。パッチの公開情報の監視、影響範囲の評価、テスト環境での検証、本番適用、適用後の動作確認までの一連の手順を含む。緊急パッチの即時適用体制も重要となる。

SCリスク特定

リスクを発見、認識及び記述するプロセス。リスク源、事象、それらの原因及び起こり得る結果の特定を含む。情報資産の洗い出しと、それらに対する脅威・脆弱性の特定を行う。

SCリスク分析

リスクの性質を理解し、リスクレベルを決定するプロセス。定性的分析と定量的分析の手法があり、脅威の発生可能性と影響度からリスクの大きさを算定する。

SC情報セキュリティ早期警戒パートナーシップ

ソフトウェア等の脆弱性情報を適切にハンドリングするための官民連携の枠組み。発見者がIPAに届出を行い、JPCERT/CCが開発者との調整を行った上で、JVNを通じて脆弱性情報を公開する。

SCSOC(セキュリティオペレーションセンター)

組織のネットワークやシステムを24時間365日監視し、セキュリティインシデントの検知・分析を行う専門施設・チーム。SIEM等のツールを用いてログやアラートを集約・相関分析し、インシデントの早期発見とCSIRTへのエスカレーションを担う。