実務チェックリスト
CVE初動対応チェックリスト
CVE番号を見ただけで慌てず、自社影響、悪用可能性、露出、暫定緩和、パッチ適用可否を順に確認する。
- 難易度
- 中級
- 想定読者
- 情シス・SOC・脆弱性管理担当
- 所要時間
- 約10分
何を確認するか
新しいCVEや緊急脆弱性情報を受け取ったとき、影響有無、露出、悪用状況、暫定対策、パッチ適用判断を整理するための初動チェックリスト。
なぜ重要か
CVE対応は速度だけでなく、対象資産と業務影響を正しく特定することが重要。優先順位を誤ると重要システムの対応が後回しになる。
見落とすと何が起きるか
インターネット露出資産や管理画面を見落とすと、公開直後の悪用、横展開、情報漏えいの起点になり得る。
情報の信頼性確認
- CVE番号、対象製品、対象バージョン、公開日、更新日を確認する
- ベンダー公式アドバイザリ、CISA KEV、NVD、JPCERT/CCなど一次情報を優先する
- CVSSスコアだけで判断せず、攻撃条件と必要権限を確認する
- PoCや悪用情報がある場合も、攻撃手順の再現ではなく防御判断に限定して読む
自社影響の確認
- CMDB、SaaS管理台帳、EDR、資産管理、クラウドタグから対象製品を検索する
- インターネット露出、VPN内、社内限定、検証環境のどこにあるか分類する
- 対象バージョン、プラグイン、モジュール、コンテナイメージを確認する
- 委託先管理、子会社、開発環境、古い検証環境も範囲に含める
暫定対策と恒久対策
- パッチ適用前にWAF、ACL、認証強化、管理画面閉塞などの暫定緩和を検討する
- パッチ適用に再起動や互換性影響があるか事前に確認する
- 緊急変更の場合は承認者、作業者、ロールバック条件を記録する
- 適用後にバージョン、ログ、監視アラート、業務影響を確認する
記録・報告
- 対象資産、判断根拠、対応期限、暫定対策、残リスクをチケット化する
- 対象外判断をした場合も、根拠と確認日時を残す
- 悪用痕跡の確認範囲をログソース単位で記録する
- 経営報告ではCVSSだけでなく、事業影響と残リスクで説明する