脆弱性の発見から修正完了までの進捗を可視化し放置リスクをゼロにする方法
セキュリティ診断ツールが脆弱性を検出しても、その後の対応状況がブラックボックスになっている組織は少なくありません。どの部門が担当しているのか、いつまでに修正する予定なのか、本当に修正が完了したのか。これらが追跡できないまま放置された脆弱性は、攻撃者にとって格好の侵入口になります。既知の脆弱性を突かれた情報漏洩や業務停止は、対応さえしていれば防げたインシデントであり、経営責任を問われる事態に直結します。
この記事は、従業員100〜1,000名規模の企業で、情報システム部門やセキュリティ担当を兼務している管理者を想定しています。読み終えると、脆弱性の検出から修正完了までを一本の流れとして管理し、対応漏れや期限超過をすぐに発見できる運用体制を構築できるようになります。大規模エンタープライズ向けのSOC運用設計や、各ツールの網羅的な機能比較は扱いません。
なお、本記事で紹介するツールの組み合わせは代表的な一例です。同じ役割を果たす別の製品でも、同様のワークフローを構築できます。
読み終えた時点で、脆弱性の検出から資産の特定、修正タスクの割り当て、完了確認までを週次サイクルで回せる具体的な運用フローと、各ツールの設定方針が手に入ります。
Workflow at a glance: 脆弱性の発見から修正完了までの進捗を可視化し放置リスクをゼロにする方法
- Step 1: 脆弱性をスキャンし検出結果を取得する (Tenable Nessus)
- Step 2: 検出結果をIT資産情報と突き合わせて優先度を判定する (LANSCOPE エンドポイントマネージャー クラウド版) (IT資産管理ツール)
- Step 3: 優先度に応じてタスクを起票し修正完了まで追跡する (Backlog) (タスク管理・プロジェクト管理)
なぜ脆弱性が検出されても放置され続けるのか
検出と対応が別々のシステムに閉じている
脆弱性が放置される最大の原因は、検出・資産特定・修正作業という3つの工程がそれぞれ独立したシステムで管理されていることです。脆弱性スキャンツールはCSVやPDFでレポートを出力し、担当者がそれを目視で確認して、どのサーバーやPCが該当するかをIT資産管理台帳と突き合わせます。その後、修正作業をメールやチャットで依頼し、完了報告もメールで受け取る。この手作業のリレーが途中で途切れると、脆弱性は検出されたまま誰にも割り当てられず、静かに放置されます。
優先度の判断基準がない
脆弱性スキャンの結果には、深刻度を示すCVSSスコア(脆弱性の危険度を0〜10で数値化した国際的な指標)が付いています。しかし、スコアだけでは自社にとっての実際のリスクは判断できません。インターネットに直接公開されているサーバーの脆弱性と、社内ネットワークの奥にある開発用PCの脆弱性では、同じスコアでも対応の緊急度はまったく異なります。この判断にはIT資産管理の情報、つまり対象機器がどこに設置され、何の用途で使われているかという文脈が必要です。検出ツールと資産管理が連携していなければ、すべての脆弱性が同じ重みで扱われ、結果として本当に危険なものへの対応が後回しになります。
対応期限と完了確認の仕組みがない
修正作業を依頼しても、いつまでに対応すべきかの期限が明示されていなければ、担当者の日常業務に埋もれます。さらに、修正が完了したかどうかを確認する仕組みがなければ、対応済みと思い込んでいた脆弱性が実は残っていたという事態が起こります。月次のセキュリティ報告会で初めて未対応が発覚し、慌てて対応するという後手の運用では、攻撃者に時間を与えているのと同じです。
重要な考え方:検出した脆弱性を資産情報と紐づけてタスク化し、期限と完了確認を自動で追跡する
脆弱性管理の本質は、検出されたすべての脆弱性に対して、対象資産・担当者・対応期限・完了状態の4つの属性を必ず付与し、例外なく追跡することです。この4つのうち1つでも欠けると、管理の穴が生まれます。
資産との紐づけが優先度判断の土台になる
脆弱性のCVSSスコアに加えて、対象資産の用途・設置場所・公開範囲を掛け合わせることで、自社にとっての実質的なリスクが初めて見えます。たとえば、CVSSスコア7.0の脆弱性でも、外部公開Webサーバーであれば即日対応、社内専用の検証サーバーであれば1週間以内という判断ができるようになります。この判断基準をあらかじめルール化しておくことで、担当者が迷わず動けます。
タスク化と期限設定で属人化を防ぐ
脆弱性への対応をメールやチャットで依頼する運用では、誰が何をいつまでにやるかが曖昧になります。タスク管理ツール上にチケットとして起票し、担当者・期限・対象資産・脆弱性IDを記録することで、進捗が誰の目にも見える状態になります。期限超過のチケットが自動で通知される仕組みがあれば、放置を構造的に防げます。
脆弱性の検出から修正完了までを週次で回す実践ワークフロー
このワークフローは、週次サイクルで脆弱性の検出・トリアージ・修正・確認を回す運用です。セキュリティ担当者が週に1回、約60〜90分を使って全体を管理します。
ステップ 1:脆弱性をスキャンし検出結果を取得する(Tenable Nessus)
毎週月曜の早朝に、Tenable Nessusで定期スキャンを自動実行します。スキャン対象は、IT資産管理ツールに登録されているIPアドレスレンジやホスト名のリストをもとに設定します。スキャン完了後、検出された脆弱性の一覧をCSV形式でエクスポートします。このCSVには、脆弱性ID(CVE番号)、CVSSスコア、対象ホストのIPアドレス、検出されたポート番号、推奨される修正方法が含まれます。
スキャン対象の範囲は、最初からすべてのネットワークセグメントを含める必要はありません。まずは外部公開サーバーと基幹業務サーバーに絞り、運用が安定してから段階的に拡大するのが現実的です。
ステップ 2:検出結果をIT資産情報と突き合わせて優先度を判定する(LANSCOPE エンドポイントマネージャー クラウド版)
Tenable Nessusから出力したCSVの対象ホスト情報(IPアドレスやホスト名)を、LANSCOPE エンドポイントマネージャー クラウド版の資産台帳と突き合わせます。LANSCOPE エンドポイントマネージャー クラウド版には、各端末・サーバーの管理部門、設置場所、用途区分(本番/検証/開発)、ネットワーク区分(外部公開/社内専用)が登録されています。
突き合わせの結果、各脆弱性に対して以下の優先度を付与します。
- CVSSスコア9.0以上かつ外部公開資産:即日対応(Critical)
- CVSSスコア7.0以上かつ外部公開資産、またはCVSSスコア9.0以上かつ社内資産:3営業日以内(High)
- CVSSスコア7.0以上かつ社内資産:1週間以内(Medium)
- CVSSスコア4.0未満または検証環境のみ:次回定期メンテナンスで対応(Low)
この突き合わせ作業は、スプレッドシート上でIPアドレスをキーにVLOOKUP関数で結合するだけでも十分に機能します。資産台帳のエクスポート機能を使い、CSVで出力したものを利用します。
ステップ 3:優先度に応じてタスクを起票し修正完了まで追跡する(Backlog)
優先度が付与された脆弱性リストをもとに、Backlogにチケットを起票します。1つの脆弱性(CVE番号)×対象資産の組み合わせごとに1チケットを作成し、以下の情報を記入します。
- 件名:CVE番号と対象ホスト名(例:CVE-2024-XXXXX / web-server-01)
- 担当者:LANSCOPE エンドポイントマネージャー クラウド版の資産台帳で特定した管理部門の担当者
- 期限日:ステップ2で判定した優先度に応じた期限
- 説明欄:CVSSスコア、脆弱性の概要、推奨される修正方法(Tenable Nessusのレポートからコピー)
- カスタム属性:優先度ラベル(Critical/High/Medium/Low)
BacklogのAPI機能を使えば、CSVからチケットを一括登録することも可能です。件数が多い場合は、Backlog APIを使ったスクリプトで自動起票する仕組みを用意しておくと、毎週の作業時間を大幅に短縮できます。
チケット起票後は、Backlogのダッシュボードで期限超過チケットを毎週水曜と金曜に確認します。期限を過ぎても未完了のチケットがあれば、担当者と管理者に自動通知が飛ぶようにBacklogの通知設定を有効にしておきます。修正が完了したら、担当者がチケットのステータスを完了に変更し、修正内容(適用したパッチ番号や設定変更の内容)をコメントに記録します。
Critical判定の脆弱性については、次回のTenable Nessusスキャンで当該脆弱性が検出されなくなったことを確認してから、チケットをクローズします。これにより、修正したつもりが実は適用されていなかったという見落としを防ぎます。
この組み合わせが機能する理由
Tenable Nessus:業界標準の検出精度と網羅性
Tenable Nessusは、脆弱性データベースの更新頻度と検出精度において業界で最も実績のあるスキャナーの1つです。CVE番号に基づく脆弱性の検出だけでなく、設定不備やコンプライアンス違反も検出できるため、セキュリティ監査の要件にも対応します。CSV形式でのエクスポートに対応しており、後続の突き合わせ作業やチケット起票との連携が容易です。一方で、ライセンスはスキャン対象のIPアドレス数に応じた課金体系のため、対象範囲を広げるとコストが増加します。まずは重要資産に絞ってスキャン対象を設定し、段階的に拡大する運用が現実的です。
LANSCOPE エンドポイントマネージャー クラウド版:資産の文脈情報を提供する
脆弱性の優先度判断に必要な資産の文脈情報、つまり用途・設置場所・管理部門・ネットワーク区分を提供するのがLANSCOPE エンドポイントマネージャー クラウド版の役割です。国産のIT資産管理ツールとして日本企業の管理体制に合った項目設計がされており、部門別の資産一覧やソフトウェアインストール状況の把握にも使えます。エージェント型で端末情報を自動収集するため、台帳の鮮度が保たれやすい点も強みです。ただし、サーバーやネットワーク機器など、エージェントを導入しにくい資産については手動での台帳登録が必要になる場合があります。この部分は運用ルールでカバーする必要があります。
Backlog:日本企業に馴染みやすいタスク管理と通知機能
Backlogは日本企業での導入実績が豊富で、ITリテラシーが高くない担当者でも直感的に操作できるインターフェースを持っています。チケットの期限管理、ステータス遷移、担当者への自動通知といった基本機能が揃っており、脆弱性対応の追跡に必要な機能を過不足なくカバーします。API経由でのチケット一括登録にも対応しているため、件数が多い場合の運用効率化も可能です。一方で、脆弱性管理に特化した機能(たとえばCVSSスコアによる自動トリアージや、スキャン結果との自動連携)は備えていないため、ステップ2の突き合わせ作業は人手またはスクリプトで補う必要があります。FitGapとしては、この手動部分を許容してでも、チーム全体が使い慣れたツールで追跡する方が、運用の定着率は高いと考えます。
Recommended tool list
| Tool | Role | Pricing | Implementation time | Notes |
|---|---|---|---|---|
| Tenable Nessus | 脆弱性スキャンと検出結果のレポート出力 | 公式サイト参照 | 1〜2日(スキャン対象の設定とポリシー定義) | スキャン対象はIT資産管理台帳のIPアドレスレンジに合わせて設定する。初回は外部公開サーバーに絞り、段階的に拡大する運用を推奨。 |
| LANSCOPE エンドポイントマネージャー クラウド版 | IT資産台帳の管理と脆弱性の優先度判断に必要な資産文脈情報の提供 | 公式サイト参照 | 1〜2週間(エージェント展開と資産情報の初期登録) | エージェント型のため端末情報は自動収集される。サーバーやネットワーク機器はエージェント非対応の場合があり、手動登録の運用ルールを併設する。 |
| Backlog | 脆弱性対応タスクの起票・担当者割り当て・期限管理・完了追跡 | 月額課金 | 即日(プロジェクト作成とカスタム属性の設定) | CVE番号×対象資産の組み合わせで1チケットを起票するルールを徹底する。件数が多い場合はBacklog APIによる一括登録スクリプトを用意する。 |
結論:検出・資産紐づけ・タスク追跡の3点を週次で回せば脆弱性は放置されない
脆弱性管理の課題は、高度なセキュリティ技術の不足ではなく、検出後の対応フローが途切れていることにあります。Tenable Nessusで検出し、LANSCOPE エンドポイントマネージャー クラウド版の資産情報で優先度を判断し、Backlogでタスクとして追跡する。この3つのステップを週次サイクルで回すだけで、放置される脆弱性を構造的になくせます。
最初の一歩として、まずは外部公開サーバーだけを対象にTenable Nessusのスキャンを1回実行し、検出された脆弱性をBacklogに起票するところから始めてください。優先度判定のルールは、運用しながら自社の実態に合わせて調整していけば十分です。
Mentioned apps: LANSCOPE エンドポイントマネージャー クラウド版, Backlog
Related categories: IT資産管理ツール, タスク管理・プロジェクト管理
Related stack guides: 監査対応の資料依頼で何度もやり取りが発生する問題を解消し監査日程の遅延を防ぐ方法, 補助金の申請期限から逆算して社内承認とタスクを連動させ申請見送りをなくす方法, プロジェクト中止の判断根拠を確実に残し意思決定の説明責任を果たす方法, 体制変更後のナレッジ移行が不十分で起きるプロジェクト遅延を3つのツールで防ぐ方法, マイルストーン判定基準の曖昧さによる手戻りをなくし意思決定スピードを上げる方法
サービスカテゴリ
AI・エージェント
ソフトウェア(Saas)
