実務チェックリスト
Web CMS KEV初動確認チェックリスト
公開CMSの緊急脆弱性を、対象サイトの棚卸し、DB種類、公開範囲、更新計画、ログ確認、委託先連携に分けて整理する。
- 対象者
- Web担当
- 緊急度
- 重大インシデント
- 領域
- Web CMS
- 難易度
- 中級
- 所要時間
- 約12分
- 最終更新
- 2026-05-23
このページを現場で使う
チェック状態はこの端末のブラウザにだけ保存されます。メモや機密情報は保存しません。
確認進捗
完了 0/0いつ使うか
Drupal、WordPress、CMS基盤、公開Webサイトに関するCISA KEV追加、ベンダー緊急アドバイザリ、脆弱性通知を受け取った直後に使う。
誰が使うか
Web担当または開発責任者が対象サイトを棚卸しし、情シス・CSIRTが優先度、暫定緩和、記録を確認する。
エスカレーション条件
インターネット公開、認証不要で到達可能、KEV掲載、個人情報や会員情報を扱う、保守対象外バージョン、委託先管理範囲が不明のいずれかがあれば重大インシデントとして扱う。
何を確認するか
DrupalなどのWeb CMSにCISA KEV掲載や緊急CVEが出たとき、対象サイト、DB種類、公開範囲、更新、ログ、委託先連携を確認するチェックリスト。
なぜ重要か
CMSは公開Web、編集権限、フォーム、DB、外部連携が集まるため、脆弱性対応で対象サイトや委託先管理範囲を見落とすと被害確認と報告が遅れる。
見落とすと何が起きるか
古い検証環境、閉鎖済みと思っていたサブドメイン、委託先管理のCMS、保守対象外バージョンを見落とすと、パッチ適用後も公開面のリスクが残る。
確認前に準備するもの
- ベンダー公式アドバイザリ、CVE番号、CISA KEV、NVD、対象バージョン
- CMS台帳、本番・検証・旧サイト・委託先管理サイトの一覧
- CMS管理者、ホスティング担当、開発会社、緊急変更承認者の連絡先
- Webアクセスログ、CMSログ、DBログ、WAF、IdP、EDRの確認手順
確認後に残すべき記録
- 対象サイト、対象外サイト、判断根拠、確認日時
- CMS/DB/依存コンポーネントのバージョン、公開範囲、更新先
- 暫定緩和、更新結果、ログ確認範囲、残リスク、次回確認日時
対象サイトと構成を確定する
暫定緩和と更新計画を決める
ログと変更履歴を見る
報告と再発防止を残す
信頼性と注意事項
- 想定環境
- Drupal、WordPress、EC-CMS、会員サイト、採用サイト、自治体・学校・NPOサイト、委託先管理CMSを含む公開Web環境
- 注意
- 攻撃再現や外部探索ではなく、自社資産台帳、公式情報、管理画面、ホスティング管理、ログに基づいて確認する。顧客報告や法務判断が関係する場合は社内規程に従う。
- 最終更新日
- 2026-05-23