脆弱性マネジメントについて、「脆弱性データベースの作成」であると解釈することがある。まったくの間違いではないが、誤解につながる恐れがある。
脆弱性マネジメントの本来の目的は、「製品に残留している脆弱性を記録して、将来的に遡及できるようにすること」にある。
これには、市場で判明した脆弱性のほかに、開発中にリスク保有やリスク回避の選択をした脆弱性も当てはまる。脆弱性を市場流通前に修正できるのならば、脆弱性マネジメントの対象にしなくてもよい。これにより、開発中に軽微なものを発見したときの工数を削減する。ただし、その脆弱性が別の製品にも当てはまって、すでに市場に流通している場合には、やはり脆弱性マネジメントの対象としなければならない。
なお、サプライヤが自組織の製品に脆弱性を発見したときは、脆弱性マネジメントに加え、供給先へその情報を共有する。このときの要否の判断ポイントも同様に、製品が市場に流通しているか否かである。
脆弱性データベースは、過去に発生した脆弱性を振り返ることで、新たな製品で同様の脆弱性を作り込まないためにも用いられる。これを脆弱性分析という。この場合、第三者組織にも情報共有できるように、製品名等が抽象的なデータベースを作成しがちである。一方、脆弱性マネジメントでは、どの製品にどんな脆弱性があるのかを後で調べられるようにすべきであるから、製品名等はなるべく具体的に記録する。
以上のことから、多くの組織では、組織内で用いる記録と、組織外にも共有できる記録の、2つの記録を保有することになるだろう。
