脆弱性の管理方法 #
それぞれの脆弱性への対応状況を適切に管理することで対応漏れやミスを防ぐことができます。 ここでは記録すべき情報と管理方法の例を記載します。自組織にとって管理しやすいツールを選択してください。
- 記録すべき情報
- 脆弱性概要/名称/CVE番号(公開されている脆弱性の場合のみ)
- 対象情報
- ステータス(未対応/対応済/保留/対応しない など)
- 対応期限
- トリアージ結果
- 区分
- 危険度
- 優先度
- 起票日
- 対応完了日/対応しないことを決めた日
- 担当者
- 対応方針(例外対応が発生する場合はその内容も含む)
- 対応の記録
- 対応実施日
- 対応実施内容(例外対応が発生した場合はその内容も含む)
- 管理方法
- Excel
- 例:
- Excel
| 脆弱性概要 | 対象情報 | ステータス | 対応期限 | システム区分 | 脆弱性危険度 | トリアージ結果 | 起票日 | 対応完了日 | 担当者 | 対応方針 | 対応の記録 | |
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 1 | CVE-2024-0001 | host_A | 対応済 | 2024/9/11 | 重要度高 | 危険度高 | 優先度緊急 | 2024/9/1 | 2023/9/5 | 山田 | ・・・ | ・・・ |
| 2 | CVE-2024-0002 | host_A | 未対応 | 2024/12/32 | 重要度高 | 危険度低 | 優先度中 | 2024/9/1 | 一ノ瀬 | ・・・ | ・・・ | |
| 3 | CVE-2024-0001 | host_B | 保留 | 2025/10/31 | 重要度中 | 危険度低 | 優先度低 | 2024/10/1 | 田中 | ・・・ | ・・・ |
- GitHubのissueやProject
- Jira
- OWASP Defectdojo
- 普段使っているツール
- Slack、Teamsなど