【セキュリティ対策｜実務向け】脆弱性対応を「属人化」から脱却させる：自動化で実現する効率的なパッチ管理術

導入: なぜ今、脆弱性管理の自動化が必要なのか

日々公開される膨大な脆弱性情報に対し、手作業で調査・判断を行っていませんか？IPAの「脆弱性対策の効果的な進め方（実践編）」でも強調されている通り、脆弱性対応の遅れはインシデント直結のリスクです。しかし、限られたリソースで全てのシステムを網羅的にチェックするのは困難です。本稿では、脆弱性情報の収集から影響範囲の特定までを自動化し、組織のセキュリティレベルを底上げする手法を解説します。

基礎知識: 脆弱性管理のフレームワーク

効果的な対策には、まず「資産管理」と「情報収集」の統合が不可欠です。
CVE (Common Vulnerabilities and Exposures): 世界共通の脆弱性識別子。
CVSS (Common Vulnerability Scoring System): 脆弱性の深刻度を定量的に評価するスコア。
CPE (Common Platform Enumeration): ソフトウェアやOSのプラットフォームを識別する標準表記。
これらを活用し、「自社の資産がどのCVEに該当し、どれほどのリスクがあるか」を即座に判断できる状態を作ることが、実務におけるゴールとなります。

実装/解決策: JVN iPedia連携による自動スクリーニング

IPAが提供する「JVN iPedia」の情報を定期的に取得し、自社で利用しているソフトウェアのバージョンと照合するスクリプトを導入しましょう。これにより、パッチ適用の優先順位付けが劇的に効率化されます。

具体的には、以下の3ステップで運用します。
1. 資産リスト（SBOM等）の保持。
2. NVD（National Vulnerability Database）やJVNのフィードをAPIで定期取得。
3. 自社資産のバージョンとマッチングし、CVSS値が一定以上のものだけを通知する。

サンプルプログラム: Pythonによる脆弱性情報取得の自動化

以下のPythonコードは、NVDのAPIを利用して、特定のソフトウェアの脆弱性情報を取得・フィルタリングする簡易的な例です。

import requests


def check_vulnerabilities(cpe_name):

    # NVD APIのベースURL

    url = "https://services.nvd.nist.gov/rest/json/cves/2.0"
    # パラメータ設定：対象ソフトウェアを指定

    params = {'virtualMatchString': cpe_name}
    try:

        # APIリクエストの実行

        response = requests.get(url, params=params)

        data = response.json()
        # 取得した脆弱性情報を解析

        for vulnerability in data.get('vulnerabilities', []):

            cve = vulnerability['cve']

            id = cve['id']

            # CVSS v3の基本スコアを取得

            metrics = cve.get('metrics', {}).get('cvssMetricV31', [{}])[0]

            score = metrics.get('cvssData', {}).get('baseScore', 0)
            # 重要度が高い脆弱性のみを抽出して表示

            if score >= 7.0:

                print(f"【高リスク】CVE ID: {id}, スコア: {score}")
    except Exception as e:

        print(f"エラーが発生しました: {e}")

実行例（例: OpenSSLの特定のバージョンを指定）実際には資産管理ツールと連携させてCPEを動的に取得してください check_vulnerabilities("cpe:2.3:a:openssl:openssl:1.1.1")

応用・注意点: 現場で陥りやすい罠

1. スコアの盲信を避ける
CVSSスコアはあくまで目安です。自社環境で「その機能を使っているか」「ネットワークから到達可能か」を考慮した優先順位付け（リスクベースアプローチ）が重要です。
2. 誤検知（False Positive）への対応
自動化ツールは、導入しているライブラリの依存関係まで正確に追えないことがあります。SBOM（ソフトウェア部品表）を活用し、より精度の高いマッピングを目指してください。
3. 運用フローの定着
ツールを導入しても、パッチ適用後のテスト工程がボトルネックになりがちです。脆弱性対応もCI/CDパイプラインの一部に組み込み、自動テストと連携させるのが理想的です。

まずは、自社の主要ソフトウェアをリストアップし、これらのツールで「何が脆弱か」を可視化することから始めてみてください。