実務チェックリスト
CVE初動対応チェックリスト
CVE番号を見ただけで慌てず、自社影響、悪用可能性、露出、暫定緩和、パッチ適用可否を順に確認する。
- 対象者
- 情シス
- 緊急度
- 重大インシデント
- 領域
- 脆弱性
- 難易度
- 中級
- 所要時間
- 約10分
- 最終更新
- 2026-05-23
このページを現場で使う
チェック状態はこの端末のブラウザにだけ保存されます。メモや機密情報は保存しません。
確認進捗
完了 0/0いつ使うか
緊急CVE、ベンダーアドバイザリ、CISA KEV追加、SOC通知を受け取った直後に使う。
誰が使うか
脆弱性管理担当またはCSIRTが一次トリアージし、対象システムのオーナーと変更管理担当へ渡す。
エスカレーション条件
インターネット露出、既知悪用、認証不要、重要データ保有、業務停止リスクのいずれかがある場合は重大インシデント扱いに上げる。
何を確認するか
新しいCVEや緊急脆弱性情報を受け取ったとき、影響有無、露出、悪用状況、暫定対策、パッチ適用判断を整理するための初動チェックリスト。
なぜ重要か
CVE対応は速度だけでなく、対象資産と業務影響を正しく特定することが重要。優先順位を誤ると重要システムの対応が後回しになる。
見落とすと何が起きるか
インターネット露出資産や管理画面を見落とすと、公開直後の悪用、横展開、情報漏えいの起点になり得る。
確認前に準備するもの
- ベンダー公式アドバイザリ、CVE番号、対象バージョン
- 資産台帳、外部公開資産、クラウドタグ、SaaS管理台帳
- 変更管理ルール、緊急パッチ承認者、ロールバック条件
確認後に残すべき記録
- 影響有無の判断根拠、対象資産、対象外資産
- KEV/EPSS/CVSS/SSVCなど優先度判断に使った情報
- 暫定対策、恒久対策、残リスク、次回確認日時
情報の信頼性確認
自社影響の確認
暫定対策と恒久対策
記録・報告
よくある質問
CVE初動対応チェックリストは何のためのチェックリスト?
CVE対応は速度だけでなく、対象資産と業務影響を正しく特定することが重要。優先順位を誤ると重要システムの対応が後回しになる。
いつ使う?
緊急CVE、ベンダーアドバイザリ、CISA KEV追加、SOC通知を受け取った直後に使う。
誰が対応する?
脆弱性管理担当またはCSIRTが一次トリアージし、対象システムのオーナーと変更管理担当へ渡す。
確認漏れがあると何が起きる?
インターネット露出資産や管理画面を見落とすと、公開直後の悪用、横展開、情報漏えいの起点になり得る。
信頼性と注意事項
- 想定環境
- クラウド、オンプレ、SaaS、委託先環境を含む脆弱性管理・変更管理環境
- 注意
- CVSSスコアだけで緊急度を決めず、自社露出、悪用状況、補償統制、業務影響を分けて判断する。
- 最終更新日
- 2026-05-23