脆弱性スキャン

脆弱性スキャンは、サーバー・ネットワーク機器・Webアプリケーション・コンテナイメージなどに対して、既知の脆弱性（CVE）を自動的にチェックし、一覧化する診断手法です。手動のペネトレーションテストに比べて広範囲を素早く・繰り返し検査できるのが強みで、セキュリティ運用の『基礎体力』を保つための日常業務として位置づけられます。

主なスキャナ製品には、①Nessus（Tenable）、②Qualys、③Rapid7 InsightVM、④OpenVAS/Greenbone（OSS）、⑤Nikto（WebアプリOSS）、⑥OWASP ZAP、⑦Trivy・Grype（コンテナ/IaC向けOSS）、⑧GitHub Dependabot・Snyk（依存ライブラリ向け）などがあります。目的に応じて組み合わせて使い、『ホスト・ネットワーク・アプリ・依存ライブラリ・コンテナ』の5視点をカバーするのが近年の標準です。

スキャンは大きく2種類で、①『クレデンシャルなしスキャン』はネットワーク越しにポート・バナー・既知脆弱性パターンを検査、②『クレデンシャル付きスキャン』は対象にログインしてパッチ適用状況・構成不備まで詳細検査する方式です。精度は後者の方が格段に高く、誤検知も減るため、運用安定後はクレデンシャル付きに移行するのが推奨されます。

スキャンで見つけた脆弱性はCVSSスコア等で優先度付けし、『Critical/Highは即対応・Medium以下は計画対応』のように運用ルール化します。パッチ適用のほか、①代替緩和策（設定変更・WAFシグネチャ）、②影響機器の隔離、③ベンダー非対応の場合はリプレース計画、などの選択肢を組み合わせます。重要なのは『スキャンしっぱなし』を防ぎ、発見→対応→再スキャンでゼロに戻すサイクルを継続することです。年1回のペンテストと毎週の自動スキャンを組み合わせる運用が、多くの中堅企業にとって費用対効果の高い着地点となります。