脆弱性対応管理に関する導入（１）

someone

2 7月, 2025

■アプリケーションメニュー

大項目

中項目

１．アプリケーション脆弱性対応

２．手動脆弱性一致アイテム取り込み

３．Rapid7脆弱性統合

４．セキュリティオペレーション統合

５．脆弱性対応

６．脆弱性マネージャワークスペース

■ワークスペース

Security Operations関連のみ抜粋
　SIR:Security Operations Workspace、セキュリティインシデントレスポンス
　VR：IT修復ワークスペース、脆弱性マネージャワークスペース

IT修復ワークスペース
１．ホーム

左メニュー
　１．ホーム
　２．ダッシュボード
　３．リスト

２．ダッシュボード

タブ
　１．所属グループにアサイン
　２．自分にアサイン
　３．自分の要求
３．リスト

リスト項目
　１．修復タスク
　２．影響を受ける資産
　３．ホスト脆弱性一致アイテム
　４．アプリケーション脆弱性
　５．ソリューション
　６．例外要求
　７．ライブラリ
　８．ペネトレーションテストアセスメント要求
　９．ペネトレーションテスト処理結果
　１０．バッチ

脆弱性マネージャワークスペース
１．ホーム　１．ホスト脆弱性

左メニュー
　１．ホーム
　２．監視トピック
　３．リスト
タブ
　１．ホスト脆弱性
　２．アプリケーション脆弱性
表示グリッド項目
　１．修復ステータス別
　２．ステータス別
　３．リスク評価別
　４．修復タスク中
　５．既存のエクスプロイトあり
　６．外向き別
　７．CIクラス別
　８．By Cloud Resource
　９．理由別の保留アイテム

２．監視トピック

トピック一覧（OOTB）
１．ホスト脆弱性
Overview
Vulnerabilites on External Facing Assets
Vulnerabilites with Exploits Available
Critical Overdue Vulnerabilites
Critical Vulnerabilites not in Remediation Tasks
Vulnerabilites on Windows Servers
Critical Risk Vulnerabilites Windows Servers
High Risk Vulnerabilites Windows Servers
Vulnerabilites on Linux Servers
Critical Risk Vulnerabilites on Linux Servers
High Risk Vulnerabilites on Linux Servers
Financial Application Service Team Vulnarabilities
High Risk Financial Application Service Team Vulnarabilities
Log4j Vulnerabilities

２．アプリケーション脆弱性
Overview
Application Vulnerabilites DAST Findings
Application Vulnerabilites SAST Findings
Application Vulnerabilites SCA Findings
Application Vulnerabilites Penetration Testing Findings

補足情報

DAST、SAST、SCA、ペネトレーションテストは、アプリケーション脆弱性を異なる角度から検出する補完的な手法です。DASTは実行時の挙動、SASTはコード、SCAは依存関係、ペネトレーションテストは実際の攻撃シナリオに焦点を当てます。

アプリケーション脆弱性は、クラウド、ネットワーク、インフラ脆弱性と異なり、ソフトウェアのロジックやユーザーインタラクションに特化しています。

クラウド脆弱性は設定ミス、ネットワーク脆弱性は通信経路、インフラ脆弱性は基盤システムに起因し、それぞれ異なるスキルセットとツールで対処が必要です。

脆弱性の分類は、技術的視点（アプリケーション、クラウドなど）、攻撃ベクトル（リモート、ローカル）、原因（コーディングエラー、設定ミス）などで整理でき、包括的なセキュリティ対策にはこれら全てを考慮する必要があります。

総合比較表

脆弱性の種類対象検出方法主な例対処者影響例
アプリケーション脆弱性コード、ライブラリ、API DAST、SAST、SCA、ペネトレーションテスト XSS、SQLインジェクション開発者、DevSecOps データ漏洩、不正アクセス
クラウド脆弱性クラウド設定、IAM クラウドスキャンツール、手動監査公開S3バケット、IAM過剰権限クラウド管理者データ漏洩、リソース悪用
ネットワーク脆弱性ネットワーク、デバイスネットワークスキャナー開いたポート、弱い暗号化ネットワーク管理者盗聴、DDoS
インフラ脆弱性サーバー、OS、コンテナ脆弱性スキャナー、構成監査パッチ未適用、コンテナエスケープシステム管理者サーバー乗っ取り

脆弱性対応管理に関する導入（１）

■アプリケーションメニュー

大項目

中項目

■ワークスペース

IT修復ワークスペース
１．ホーム

補足情報

総合比較表

Popular Posts

Hashtag

脆弱性の種類	対象	検出方法	主な例	対処者	影響例
アプリケーション脆弱性	コード、ライブラリ、API	DAST、SAST、SCA、ペネトレーションテスト	XSS、SQLインジェクション	開発者、DevSecOps	データ漏洩、不正アクセス
クラウド脆弱性	クラウド設定、IAM	クラウドスキャンツール、手動監査	公開S3バケット、IAM過剰権限	クラウド管理者	データ漏洩、リソース悪用
ネットワーク脆弱性	ネットワーク、デバイス	ネットワークスキャナー	開いたポート、弱い暗号化	ネットワーク管理者	盗聴、DDoS
インフラ脆弱性	サーバー、OS、コンテナ	脆弱性スキャナー、構成監査	パッチ未適用、コンテナエスケープ	システム管理者	サーバー乗っ取り

■アプリケーションメニュー

大項目

中項目

■ワークスペース

IT修復ワークスペース１．ホーム

補足情報

総合比較表

Popular Posts

調達購買プロセスのServiceNow標準形：Source-to-Payのデモ

DB基礎①概要

日本の都市ランキング

ITIL 変更管理の“標準的な変更”と“通常の変更”の違い

福岡県＋佐賀県の都市の歳入額概算値と主要指標[不動産投資向け]

Hashtag

IT修復ワークスペース
１．ホーム