すべてのプロダクト
Search
ドキュメントセンター

Security Center:脆弱性の修正

最終更新日:Jun 19, 2026

Security Center は、一般的な脆弱性タイプのスキャンと修正を行う脆弱性管理機能を提供し、資産全体の脆弱性リスクを包括的に把握し、迅速に対処するのに役立ちます。本稿では、Security Center を使用して脆弱性の優先順位付け、処理、修正を行うベストプラクティスについて説明します。

脆弱性修正の優先順位

脆弱性修正の優先順位は、以下の要素によって決まります。

  • 技術的影響

  • エクスプロイトの成熟度 (PoC、エクスプロイト、武器化されたワーム、または武器化されたウイルス)

  • 脅威レベル (サーバー権限の侵害の有無)

  • 影響を受ける IP アドレスの数 (インターネットに公開されている、影響を受ける IP の規模によって、攻撃者がその脆弱性にどれだけ注目するかが決まります)

Security Center が提供する脆弱性緊急度スコアリングモデルは、各脆弱性の修正の緊急度を評価し、修正の優先順位付けに役立ちます。このモデルの詳細については、「概要」をご参照ください。

脆弱性修正の方針決定

  1. 資産で複数の脆弱性が検出され、どれを最初に修正すべきかわからない場合は、脆弱性管理 ページに移動し、Show Only Exploitable Vulnerabilities スイッチをオンにして、修正の優先度が高い脆弱性をフィルターします。

    Security Center のリアルリスク脆弱性モデルは、Alibaba Cloud 脆弱性スコアリングシステム、時間的要因、環境的要因、資産の重要度といった要因に基づいて脆弱性を評価します。実際の攻撃シナリオで脆弱性が悪用可能かどうか (PoC、EXP) とその深刻度を組み合わせることで、実際にセキュリティリスクをもたらす脆弱性の自動的な絞り込みに役立ちます。この機能を有効にすることで、攻撃者に悪用される可能性のある脆弱性を修正する効率が向上します。

  2. 脆弱性の種類に応じて、修復待ちの緊急脆弱性[Web-CMS 脆弱性] を優先的に修正することをお勧めします。これら 2 種類の脆弱性は、Alibaba Cloud のセキュリティエンジニアによって高リスクの脆弱性として確認されています。これらを修正した後、アプリケーションの脆弱性、Windows システムの脆弱性、および Linux ソフトウェアの脆弱性の修正に進んでください。

  3. 実際のビジネス要件、サーバーの利用状況、修正によって生じる可能性のある影響に基づいて、脆弱性を最初に修正する必要があるかどうかを判断します。

脆弱性修正プロセス

脆弱性修正プロセス中に対象サーバーの正常な稼働を維持し、例外のリスクを軽減するために、次のプロセスに従うことを推奨します。

  1. 脆弱性のスキャン

    1. Security Center コンソールにログインします。左側のナビゲーションウィンドウで、リスクガバナンス > 脆弱性管理 を選択します。コンソールの左上隅で、保護対象のアセットが配置されているリージョンとしてChinese MainlandまたはOutside Chinese Mainlandを選択します。

    2. 脆弱性管理 ページの右上隅で、脆弱性管理の設定 をクリックします。

    3. 脆弱性管理の設定 パネルで、スキャン範囲がすべてのサーバーのすべての種類の脆弱性を網羅するように、脆弱性管理設定を確認します。詳細については、「脆弱性スキャン」をご参照ください。

    4. 脆弱性管理 ページに戻り、Quick Scan をクリックします。

    現在のアカウント内のすべてのサーバーの脆弱性ステータスを確認し、検出された脆弱性情報が最新であることを確認します。

  2. 修正前のテスト

    説明

    脆弱性を修正する前に、修正対象の脆弱性に関連するパッチをテスト環境にデプロイします。パッチの互換性と安全性をテストし、テスト完了後に脆弱性修正テストレポートを作成します。テストレポートには、修正結果、修正期間、パッチの互換性、修正による潜在的な影響を含める必要があります。

  3. サーバーデータのバックアップ

    説明

    予期せぬ事態を避けるため、脆弱性の修正を開始する前に、バックアップおよびリカバリシステムを使用して、修正対象のサーバーのデータをバックアップします。たとえば、Elastic Compute Service (ECS) のスナップショット機能を使用して、対象 ECS インスタンスのデータをバックアップします。Windows システムの脆弱性と Linux ソフトウェアの脆弱性を修正する場合、自動スナップショット作成および修正機能を使用できます。緊急脆弱性とアプリケーションの脆弱性については、ECS コンソールに移動してスナップショットを作成する必要があります。脆弱性のある ECS インスタンスのリストをエクスポートし、自動スナップショット機能を使用してデータをバックアップすることを推奨します。詳細については、「自動スナップショットポリシー」をご参照ください。

  4. 脆弱性の修正

    説明

    脆弱性修正パッチをデプロイし、対象サーバーで修正操作を実行する際は、誤操作を防ぐため、少なくとも 2 名のオペレーターが立ち会う必要があります。1名は操作を実行し、もう1名が記録を担当します。

  5. 修正後の検証

    説明

    対象サーバーシステムの脆弱性が修正されたこと、および対象サーバーで例外が発生していないことを確認します。

脆弱性修正に関する注意事項

緊急脆弱性、アプリケーションの脆弱性

Security Center は、緊急脆弱性とアプリケーションの脆弱性の検出と修正提案の提供のみをサポートします。ワンクリック修正はサポートしていません。影響を受けるサーバーにログインし、脆弱性の詳細に記載されている修正提案に基づいて手動で脆弱性を修正する必要があります。

説明
  • Security Center の脆弱性修正テストはすべてのシステム環境をカバーできないため、パッチ修正には一定のリスクが伴います。予期せぬ事態を防ぐため、修正を適用する前に、ECS コンソールからスナップショットを作成し、独自のテスト環境を構築して修正計画を十分にテストすることを推奨します。緊急脆弱性またはアプリケーションの脆弱性が検出された ECS インスタンスについては、ECS コンソールでスナップショットを作成してデータをバックアップできます。脆弱性のあるすべての ECS インスタンスのリストをエクスポートし、自動スナップショットポリシーを使用してスナップショットを作成することを推奨します。詳細については、「自動スナップショットポリシー」をご参照ください。

  • ビジネスへの影響やセキュリティバージョンがリリースされていないために修正できない脆弱性については、公式ベンダーが提供する一時的な軽減策を使用して攻撃を防御することを推奨します。

  • ビジネスに影響を与えず、セキュアバージョンが利用可能な脆弱性については、ソフトウェアをセキュアバージョンにアップグレードすることを推奨します。

Linux ソフトウェアの脆弱性、Windows システムの脆弱性

Security Center は、Linux ソフトウェアの脆弱性と Windows システムの脆弱性の自動検出とワンクリック修正をサポートします。脆弱性の詳細ページで対応する脆弱性を処理することを推奨します。脆弱性の修正の詳細については、「脆弱性の管理」をご参照ください。

資産に複数の Linux ソフトウェアの脆弱性が存在する場合、一括修正機能を使用できます。Linux ソフトウェアの脆弱性のみが一括修正をサポートします。一括修正機能は、選択した脆弱性アドバイザリに対応する資産を自動的に識別し、これらの資産で選択した脆弱性を修正します。以下の手順では、Linux ソフトウェアの脆弱性を一括修正する方法について説明します。

  1. Security Center コンソールにログインします。左側のナビゲーションウィンドウで、リスクガバナンス > 脆弱性管理を選択します。 コンソールの左上隅で、保護対象アセットのリージョンとしてChinese MainlandまたはOutside Chinese Mainlandを選択します。

  2. 脆弱性管理 ページの [Linux ソフトウェア脆弱性] タブで、一括修復する脆弱性を選択し、Batch Fix をクリックします。

    説明

    脆弱性を一括修正する場合、パフォーマンス上の理由から、一度に 100 件以下の脆弱性を修正することを推奨します。100 件を超える脆弱性を修正する必要がある場合は、スナップショットを作成し、バッチで修正できます。

  3. Batch Fix ダイアログボックスで、セキュリティセンターが脆弱性の修復が必要と識別した資産のリストを確認し、スナップショットの自動作成と修復 または Skip Snapshot and Fix を選択し、Fix Now をクリックします。

一括修正が失敗した場合は、サーバーのネットワーク接続が安定しているか、ディスク容量が不足していないかを確認してください。詳細については、「脆弱性の管理」をご参照ください。

Web-CMS の脆弱性

Security Center は、Web-CMS の脆弱性の検出とワンクリック修正をサポートします。Web-CMS の脆弱性検出機能は、Web サイトディレクトリを監視し、一般的な Web サイトビルダーの脆弱性を識別します。詳細については、「脆弱性の管理」をご参照ください。