脆弱性管理

脆弱性管理 (ぜいじゃくせいかんり、英: vulnerability management)は、ソフトウェアの脆弱性を「識別、分類、優先順位付け、修正、および軽減する循環的な慣行」のこと^[1] 。脆弱性管理はコンピュータセキュリティとネットワークセキュリティに不可欠である。脆弱性評価と混同しないこと^[2] 。

脆弱性は、脆弱性検査ツールを使用して発見することができる。脆弱性検査ツールは、コンピューターシステムを分析して、開いているポート、安全でないソフトウェア構成、マルウェア感染に対する感受性などの既知の脆弱性^[3]を検索できる。ゼロデイ攻撃などの未知の脆弱性は、ファジングテストで見つかる可能性があるこれにより、関連するテストケースでのバッファオーバーフローなど、特定の種類の脆弱性を特定できる。このような分析は、テスト自動化で容易になる。さらに、ヒューリスティック分析が可能なウイルス対策ソフトウェアは、ソフトウェアが疑わしい動作（システムファイルの上書きを試みるなど）を検出した場合、既知でないマルウェアを発見できる可能性もある。

脆弱性への対策には、パッチのインストール、ネットワークセキュリティポリシーの変更、ソフトウェアの再構成、またはソーシャルエンジニアリングについてのユーザーの教育などが有効である。