リスクベースの脆弱性管理の原則

1. リスクベースの脆弱性管理の概要

---

リスクベースの脆弱性管理とは何ですか？

リスクベースの脆弱性管理 (RBVM) は、組織を脅かすリスクの特定と管理に役立ちます。機械学習分析によって、脆弱性の深刻度と脅威アクターのアクティビティを資産の重要度に関連付けます。それにより、組織にとって最も大きなリスクを引き起こすものを優先的に修復し、その後、リスクがより小さいものの優先順位を下げることができます。

リスクベースの脆弱性管理は従来の脆弱性管理手法を基盤としていますが、企業にとって最大のリスクとなる上位 3% の脆弱性を特定できるため、脆弱性対応の負担を約 97% 削減できます。

リスクベースの脆弱性管理と従来の脆弱性管理はどのように違うのですか?

従来の脆弱性管理ツールでは、理論的な観点から企業に対するリスクが示されます。 これは、脆弱性によって環境にもたらされる可能性のある脅威です。実際のリスクとなる脅威ということではありません。 これにより、セキュリティチームは、組織にとって実際のリスクではない脆弱性を修復しようとして、泥沼に陥ってしまうことがあります。その結果、ビジネスに悪影響を与える可能性が高い深刻な脆弱性を見逃してしまうおそれがあります。

しかし、リスクベースの脆弱性管理で行えるのは、脆弱性の検出だけではありません。 脅威の状況とともにリスクを把握することもできます。また、そのリスクが事業にもたらす潜在的な影響についても洞察を得られます。

また、従来の脆弱性管理では大量の脆弱性データが返されるため、最初に修正すべき脆弱性について真の洞察を得られません。 リスクベースの脆弱性管理では、憶測が回避できます。

また、従来の脆弱性管理はリスクの検出には役立ちますが、企業にとって実際のリスクとなる脅威の優先順位付けを適切に行えません。また、脅威が増大している現代のアタックサーフェスにも対応できません。

アタックサーフェスは複雑化しているため、従来の脆弱性管理では、ネットワークを通過するすべてのデバイスと付随するすべてのリスクについて包括的な洞察を得ることができません。 なぜなら、現代のアタックサーフェスは、もはや従来の IT 資産だけではないからです。 今日のアタックサーフェスには、ウェブアプリ、クラウドインフラ、モバイルデバイス、コンテナ、モノのインターネット (IoT デバイス)、産業用モノのインターネット (IIoT) デバイス、IT インフラと統合して接続するオペレーショナルテクノロジー (OT) などが含まれます。

従来の脆弱性管理では盲点が残ってしまいますが、リスクベースの脆弱性管理の場合は、既存のセキュリティプログラムの弱点に対してより適切な対処ができるようになります。

リスクベースのアプローチで脆弱性管理を行うことで、チームは最も重要な脆弱性や資産の管理に集中できます。その結果、悪用される可能性の低い脆弱性の対処に貴重な時間を費やすことなく、真のビジネスリスクに対応できるようになります。

リスクベースの脆弱性管理と従来の脆弱性管理が異なる点は、他にもいくつかあります。

従来の脆弱性管理

• 以下のような従来のオンプレミス IT 資産を評価
• デスクトップコンピューター
• サーバー
• ネットワーク上のデバイス
• 以下のようなアタックサーフェス上にある最新デバイスを無視
• Web アプリケーション
• モバイルデバイス
• クラウドインフラ
• IoT
• IIoT
• コンテナ
• OT
• 盲点を生み出し、企業をリスクにさらす
• 最低限のコンプライアンス要件に適合
• 脆弱性データの静的なポイントインタイムのスナップショットを提供
• 事後対応型

リスクベースの脆弱性管理

• 従来の資産と最新の資産の両方の評価が可能
• 機械学習を使用して、脆弱性データだけでなく、資産重大度、脅威インテリジェンス、エクスプロイトインテリジェンスも合わせて考慮することで、脆弱性が企業に与える影響を予測
• ベストプラクティスを使用してリスクを軽減
• 資産と脆弱性の継続的かつ動的な可視化を実現
• 事前対応型かつ重要問題に絞った対応が可能

2. リスクベースの脆弱性管理プロセス

---

脆弱性管理プログラムにリスクベースのアプローチを適用

DX 時代のアタックサーフェスを脅威からより適切に保護するには、既存の脆弱性管理プロセスに対してリスクベースのアプローチの導入を検討しましょう。導入することで、企業は、IT とインフラ重視のセキュリティから解放され、アタックサーフェス全体をより効率的に保護するために必要なツールとリソースを確保できます。

まずは、リスクベースの脆弱性管理プロセスがお客様のサイバーセキュリティライフサイクルにどのように適合できるのかを理解することから始めるのが良いでしょう。以下をご確認ください。

• 検出: まず、すべての資産を特定してマップ化し、コンピューティング環境を完全に可視化します。
• 評価:すべての環境にわたるすべての資産を評価し、脆弱性、設定ミス、その他のセキュリティにおける健全性の懸念を特定します。
• 優先順位付け: リスクのコンテキストを理解した上で、資産の重要度、脆弱性の深刻度、脅威のコンテキストに基づいて修復の優先順位を付けます。
• 修正: 優先順位を付けたリスクに対して、適切な修復または緩和措置を講じます。
• 測定:セキュリティとビジネス上の意思決定を改善するため、サイバーリスクを把握し、社内および同等の組織に対して計算、伝達、比較できるようにします。

リスクベースの脆弱性管理のベストプラクティス

アタックサーフェス内の盲点は、企業をリスクにさらします。 ネットワーク上のデバイスを確認できない場合や、資産に存在する脆弱性を把握できない場合は、アタックサーフェスを適切に保護することはできません。

今日、保護の対象となるのは従来の資産だけではありません。 企業に対する完全な可視性を実現して、ネットワークに接続されるエンドポイントとトラフィックを、接続の頻度が少ないものや存続時間が短いものも含めてすべて把握できるようにする必要があります。

従来の脆弱性管理は事後対応的である傾向があります。したがって、リスクベースの脆弱性管理のような、より事前対応的なセキュリティ対策を導入することで、組織の環境をより安全にできます。

ベストプラクティスに関する推奨事項をいくつか紹介します。

• アタックサーフェス全体のデータを継続的に収集して分析する
• 従来の IT にとどまらず、エンドポイント、クラウド環境、モバイルデバイス、ウェブアプリケーション、コンテナ、IoT、IIoT、OT など、あらゆるものを含める
• 自動化して、設定管理、資産管理、インシデント対応、変更管理などのプロセスを合理化する。
• わかりやすい分析とカスタマイズ可能なレポートを備えたリスクベースの脆弱性管理ソリューションを導入する。 提供されるレポートが企業のニーズを満たし、企業の変化や成長に合わせて拡張可能であることを確認してください。
• レポートと分析を活用して、主要なステークホルダーにプログラムの成果とギャップについて伝達する。 ステークホルダーの役割ごとに適切な詳細情報を提供することで、サイバーセキュリティの専門知識に関係なく、誰もが技術データを理解できます。 たとえば、経営陣とセキュリティについて話すときは、レポートをビジネスの目標や目的に合わせて作成します。
• 分析とデータを使用して、チームによる資産のインベントリや評価情報の収集の状況を把握する。 使用したプロセスや修復にかかる時間など、チームが優先順位の高い脆弱性をどの程度修復できたかを判断するための成功指標を追加することを忘れないようにしましょう。

3. スキャンと検出

---

セキュリティの脆弱性とは何ですか?

セキュリティの脆弱性とは、セキュリティリスクを引き起こすソフトウェアの欠陥やプログラミングのミスのことです。 脆弱性管理プログラムにおいて、このような脆弱性は企業を攻撃に対して脆弱にする弱点であるとみなされます。

アクティブスキャンとは何ですか?

アクティブスキャンは、オープンポートの有無、デバイス上のマルウェアの有無、インストール済みのソフトウェアとそのインストール場所、セキュリティ設定に関する問題の有無など、すべての資産に関する詳細な情報を提供する脆弱性管理プロセスです。

非認証スキャン (ノンクレデンシャルスキャン)、認証スキャン (クレデンシャルスキャン)、エージェントベースのスキャンはすべて、アクティブスキャンに含まれます。

4. 優先順位付け

---

予測に基づいた優先順位付けの概要、リスクベースの脆弱性管理における役割

従来の脆弱性管理では大量のデータが返されるため、それらをすべて確認して最初に修正すべき脆弱性を判断することは、セキュリティチームにとってほぼ不可能です。

一方、リスクベースの脆弱性管理では、ツールを活用して実際のリスクに基づいて優先順位を付けられるため、脆弱性対応の負担を 97% 削減できます。

脆弱性の優先順位付けを効果的に行う方法の 1 つとして、Tenable の予測に基づいた優先順位付けがあります。 予測に基づいた優先順位付けを行うことで、即時対応が必要な脆弱性の数が減り、最初に注力すべき 3% の脆弱性をピンポイントで特定できるため、脆弱性管理プロセスが強化されます。

予測に基づいた優先順位付けでは、機械学習を使用して、企業にとって最大のリスクとなる少数の脆弱性を特定します。 これにより、現代のアタックサーフェスについての継続的かつ包括的な洞察を得られます。

予測に基づいた優先順位付けでは、Tenable の脆弱性データを、サードパーティの脆弱性データや脅威データと組み合わせて使用します。 その後、Tenable Research が開発した高度なデータサイエンスアルゴリズムを使用して分析します。

予測に基づいた優先順位付けでは、包括的な脆弱性分析にリスクベースの脆弱性管理を導入することにより、攻撃者が企業に対して弱点を悪用する可能性を判断します。

予測に基づいた優先順位付けの更新は、毎晩行われます。まず、109,000 件の個別の脆弱性が分析されます。 次に、攻撃者が近い将来に脆弱性を悪用するおそれがあるかどうかを予測します。

従来の脆弱性管理で使用されている CVSS (共通脆弱性スコアシステム) では、60% 以上の脆弱性が「深刻」または「高」と評価されます。しかし、予測に基づいた優先順位付けでは、脆弱性ごとに VPR (Vulnerability Priority Rating) と ACR (資産重大度の格付け) を割り当てることで、修正の優先順位付けの決定をサポートします。

CVSS、VPR、ACR については、以下で詳しく説明します。

Vulnerability Priority Rating (VPR) とは何ですか?

従来の脆弱性管理の CVSS (共通脆弱性スコアシステム) は、脆弱性の潜在リスクを理論的な観点で評価します。

CVSS の評価は、0 (深刻度が最も低い) から 10 (深刻度が最も高い) まであります。 しかし、CVSS では、脆弱性の約 60% に対して「高」または「深刻」という CVSS スコアが付与されます。そのなかには、企業にとってリスクがほとんどない脆弱性も含まれています。

CVSS では実際のリスクかどうかは認識されず、環境内の各資産の重大度も考慮されません。 しかし、そのような情報は、修正の優先順位付けを効果的に行うためには不可欠です。

リスクベースの脆弱性管理では、CVSS を基盤とした Tenable の予測に基づいた優先順位付けにより、脆弱性が攻撃者によって悪用される可能性を予測できます。 また、実際のリスクと理論上のリスクが区別されます。 Tenable では、VPR (Vulnerability Priority Rating) と ACR (資産重大度の格付け) によって CVSS を補完します。

VPR は、脅威と攻撃の範囲、脆弱性の影響、脅威のスコアなど、リスクについての詳細情報を提供します。一方、ACR は、いくつかの主要要因に基づいて、ネットワーク上の各資産の重大度を表します。

Tenable では、ほとんどの脆弱性に対して VPR を算出しています。さらにこの値は、最新の脅威状況を反映するために定期的に更新されます。

VPR では、機械学習アルゴリズムと脅威インテリジェンスを活用して National Vulnerability Database (NVD) に公表されているすべての脆弱性が分析されています。 NVD にリストされていない脆弱性は VPR を取得できません。ただし、CVSS スコアに基づいてこれらの脆弱性を修復することはできます。

VPR の範囲

VPR の範囲は 0.1 ～ 10.0 で、値が高いほど悪用される可能性が高いことを示しています。

• 重大: 9.0 から 10.0
• 高: 7.0 から 8.9
• 中: 4.0 から 6.9
• 低: 0.1 から 3.9

VPR の計算方法

VPR の計算に使用される主要要因の一部を紹介します。

• 脆弱性の存続期間: 脆弱性の NVD 公開からの日数
• CVSS 影響スコア: NVD が提供する CVSSv3 影響スコア (NVD スコアがない場合、Tenable Vulnerability Management は Tenable が予測したスコアを表示します)
• エクスプロイトコードの成熟度: 社内外のソースからのエクスプロイトインテリジェンスの有無、巧妙さ、浸透度に基づいて算出される、潜在的なエクスプロイトの相対的な成熟度
• 製品カバレッジ: 脆弱性の影響を受ける固有製品の相対的な数
• 脅威のソース: 関連する脅威イベントが発生したすべてのソース
• 脅威の強度: 対象の脆弱性に関連して最近観測された脅威イベントの件数と頻度に基づいた相対的な強度
• 脅威の最新性: 脅威イベントが発生してからの日数 (0 ～ 730 日)
• 脅威イベントの例
• 脆弱性の悪用
• 公開レポジトリへの脆弱性のエクスプロイトコードの埋め込み
• 主要メディアで脆弱性が話題となっていること
• セキュリティに関する調査
• ソーシャルメディアで脆弱性が話題となっていること
• ダークウェブやアンダーグラウンドでの脆弱性が話題となっていること
• ハッカーフォーラムで脆弱性が話題となっていること

VPR は、従来の脆弱性管理で使用される CVSS を補完します。CVSS では、現実には使用されているエクスプロイトがない脆弱性についても、「高」または「深刻」と評価することが多いため、実際のリスクについて詳細に把握するには VPR が役立ちます。

CVSS (共通脆弱性スコアシステム) スコアとは何ですか?

CVSS (共通脆弱性スコアシステム) は、脆弱性リスクを理論的な観点から評価します。

CVSS のスコアも、VPR と同様、0 (最も深刻度が低い) から 10 (最も深刻度が高い) までとなっています。しかし、CVSS では、企業にリスクをもたらす可能性がほとんどない脆弱性も含めたすべての脆弱性のうちの約 60% が「高」または「深刻」と評価されます。

CVSS では、環境における実際のリスクや資産の重大度は考慮されません。 修正の優先順位付けを効果的に行うためには、VPR に含まれるこうした情報は不可欠です。

Security Week の記事では、「セキュリティチームが高い CVSS スコアに絞った脆弱性の修復に重点を置く場合、ランダムに脆弱性を選んで修復を行っている状態と変わらない」ということを示す 1 つのレポートを取り上げています。

つまり、CVSS 評価は、エクスプロイトの現実的な可能性や出回っている脅威の悪用の成功率とは相関していません。

Asset Criticality Rating (ACR) とは何ですか?

ACR (資産重大度の格付け) は、ネットワーク上のすべての資産の資産重大度を表します。 ACR は、ビジネスの目的、資産のタイプ、場所、接続性、機能、サードパーティのデータなど、いくつかの主要な指標に基づいています。

ACR の範囲は 0 から 10 まであります。 ACR のスコアが低い資産は、ビジネス上重要ではないとみなされます。 スコアが高い資産は、重要とみなされます。

ACR の範囲

• 重大: 9 から 10
• 高: 7 から 8
• 中: 4 から 6
• 低: 1 から 3

Tenable では、ネットワーク上の資産の初回スキャン時に ACR の値を提供します。 以降、ACR は Tenable によって自動で生成されます。この値は毎日更新されます。

ACR の値は、企業のニーズを反映するようにカスタマイズできます。

ACR の計算方法

VPR の計算に使用される主要要因の一部を紹介します。

• デバイスの種類
• 例: ハイパーバイザー (仮想マシンをホストする Type 1 ハイパーバイザー) 、またはプリンター (ネットワークプリンターまたはプリントサーバー)
• デバイスの機能
• デバイスのビジネスにおける使用目的。 例えば、ファイルサーバーやメールサーバーです。
• インターネットへの露出
• ネットワーク上におけるデバイスの位置とインターネットへの近接性。 例: 社内のデバイスでローカルエリアネットワーク (LAN) 内 (おそらくファイヤーウォールの背後に位置する)、または 社外のデバイスで LAN 外 (ファイヤーウォールの背後に位置しない)。

Asset Exposure Score (AES) とは何ですか?

Tenable では、VPR と ACR の他に、リスクベースの脆弱性管理アプローチをさらにサポートする AES (資産のエクスポージャースコア) も提供しています。

AES は、ある資産と関連のある最新の ACR と VPR の値に基づいて算出されます。 AES は、各資産の脆弱性の脅威、資産の重大度、スキャン動作などを考慮して、脆弱性の状況を定量化します。

AES は、各資産の相対的なエクスポージャーを 0 ～ 1,000 の範囲で表します。 AES が高いほど、エクスポージャーが高いことを示します。

Cyber Exposure Score (CES) とは何ですか?

Cyber Exposure Score (CES) は、企業のサイバーリスクを表します。これは VPR と ACR を組み合わせたものです。

CES の範囲は 0 (最小リスク) から 1,000 (最高リスク) で、企業のすべての AES の平均を表しています。

CES が提供する以下の機能が修正の優先順位付けに役立ちます。

• 資産の重大度の調査
• ビジネス目標の分析
• アタックサーフェス内の潜在的な脅威の深刻度の確認
• 今後 28 日以内に攻撃者が脅威を悪用する可能性の判断
• 悪用される可能性のあるリスクの浸透度に関連した脅威の状況の把握

CES はまた、リスクベースの脆弱性管理の効果について、社内部門や競合他社と比較するベンチマーキングにも役立ちます。

Tenable では、過去 90 日間にスキャンされたすべての資産の AES 値に基づいて、0 ～ 1,000 の数値で CES を計算します。 CES が高いほど、リスクが高いことを表します。

Cyber Exposure Score の対象

• 企業全体
• 特定のビジネス文脈に該当する資産

5. ソリューションの選定

---

リスクベースの脆弱性管理ソリューションの選定

既存の脆弱性管理にリスクベースのアプローチを適用することを検討している場合であっても、新規のプログラムをゼロから構築する場合でも、リスクベースの脆弱性管理ソリューションを使用することで、リスクの特定や修正の優先順位付けと計画の策定が容易になり、企業のサイバーリスクについて卓越した可視性が得られます。

適切なリスクベースの脆弱性管理ツールの使用によって、サイバーセキュリティプログラムとビジネスの目標や目的との整合をとることさえ可能になり、セキュリティチームや主要ステークホルダーにサイバーリスクについてより効果的に伝達することができます。

適切なリスクベースの脆弱性管理ソリューションの選定に役立つ推奨事項をいくつか紹介します。

まず、リスクベースの脆弱性管理ソリューションはそれぞれ異なるという点に注意して、企業にとって最も重要な機能と性能は何か、そして企業の安全維持のためにどのように使用すればよいのかを詳細に理解する必要があります。

ニーズと活用方法が明確になれば、情報収集プロセスをリスクベースの脆弱性管理プロセスに整合して、ソリューションが以下の各段階でどのように機能するかが理解できます。

検出

• 検討中のソリューションは、アタックサーフェス全体のすべての資産をどのように特定しますか?
• 検討中のソリューションでは、企業内の脆弱性、弱点、設定ミス、その他のセキュリティの健全性に関する問題をどのように検出しますか?
• 検討中のソリューションは、脆弱性や資産を検出する際にどのような戦略やアプローチを使用していますか?
• 資産と脆弱性の検出に関して、検討中のソリューションの長所と短所は何ですか?
• 検討中のソリューションでは、アタックサーフェスに対する定期的かつ頻繁なスキャン実行がサポートされていますか? サポートされている場合、そのプロセスはどのように機能しますか?
• 検討中のソリューションでは、従来の IT だけでなく、OT、IoT、IIoT、クラウド、サーバーレス、モバイルデバイス、コンテナなど、あらゆるタイプの資産の特定とマップ化が可能ですか?
• 検討中のソリューションは、新しい資産がネットワークに接続されたときに即時に検出できますか?

評価

• 検討中のソリューションは、アタックサーフェス全体のすべての資産をどのように評価しますか?
• 検討中のソリューションでは、企業内の脆弱性、弱点、設定ミス、その他のセキュリティの健全性に関する問題をどのように評価しますか?
• 検討中のソリューションは、脆弱性や資産の検出にどのような戦略やアプローチを使用していますか?
• 検討中のソリューションは、即時評価と継続評価をサポートしていますか? サポートしている場合、そのプロセスはどのように機能しますか?
• 検討中のソリューションは、脆弱性データを、資産の重大度や現在と将来の攻撃者の活動の評価などの状況要素と関連付けて分析できますか?
• 検討中のソリューションは、脆弱性に注力する研究チームの継続的で詳細な研究によってサポートされていますか?
• 検討中のソリューションでは、拡張ネットワークで検出されたすべての脆弱性について詳細な洞察を得られますか?

優先順位づけ

• 検討中のソリューションは、脆弱性の優先順位付けツールを提供していますか?
• 提供している場合、アタックサーフェスの脆弱性はどのように優先順位付けられますか?
• 検討中のソリューションは、脆弱性の優先順位付けにどのような戦略やアプローチを使用していますか?
• 検討中のソリューションの脆弱性の優先順位付けに対するアプローチは、事前対応型ですか、それとも事後対応型ですか?
• 検討中のソリューションは、各脆弱性の優先順位付けの評価を、最新の脅威状況の変化に基づいて継続的に更新していますか?
• 検討中のソリューションは、機械学習を使用して、数秒以内にペタバイト規模のデータを分析して優先度評価を割り当てることができますか?
• 検討中のソリューションは、脆弱性の深刻度、攻撃者の活動、資産の重大度を判断して、実際のリスクを正確に定量化できますか?
• このソリューションでは、攻撃者が近い将来悪用するおそれが最も高い脆弱性を予測するのに、データサイエンスモデルを使用していますか?

修正

• 検討中のソリューションは、脆弱性の修正を支援するツールを提供していますか? 提供している場合、それはどのようなものですか? ツールが提供されていないソリューションでは、ほとんどの場合、修正は手作業で行わなければなりません。
• 検討中のソリューションは、SIEM (セキュリティ情報イベント管理)、チケッティングシステム、パッチ管理ツールなど、その他のセキュリティソリューションと統合できますか?
• 検討中のソリューションは、修正、軽減、許容など、さまざまな修正措置をサポートしていますか?
• 検討中のソリューションは、補完統制などの要因に基づいてリスクスコアを自動あるいは手動で変更できますか?

測定

• 検討中のソリューションは、リスクベースの脆弱性管理プログラムの有効性をどのように測定しますか?
• 検討中のソリューションは、リスク軽減のための主要なセキュリティ指標と成熟度指標を算出できますか?
• 検討中のソリューションは、セキュリティチームの有効性について、経営陣やその他の意思決定者を含めたチーム内外の関係者に効果的に伝達できますか?

ベンチマーキング

• プログラムのパフォーマンスを社内および同業他社と比較してベンチマークするのに役立つツールはありますか?
• ツールが提供されている場合、ベンチマーキングのプロセスはどのようなものですか?
• 検討中のソリューションでベンチマーキングに必要なサンプル数は、どのくらいですか?
• 既存のプログラムのベンチマーキングは実施済みですか? 実施済みの場合、検討中のソリューションでは、さらに優れたベンチマーキングの実現のために類似した指標、またはより適切な指標が提供されていますか?

リサーチ

• 検討中のソリューションのベンダーは、ソリューションのサポートと強化のための継続的な研究を行っていますか?
• そのベンダーの研究チームはどの程度の規模ですか?
• その研究チームは、重要な問題に対して迅速に対応することで知られていますか?
• その研究チームの対応までにかかる時間の中央値はどのくらいですか?
• その研究チームは平均して年間何個のプラグインを開発していますか?
• その研究チームは平均して年間何件の脆弱性を検出して公開していますか?

Professional Services

• 検討中のソリューションのベンダーの専門サービスチームは、何名で構成されていますか?
• そのベンダーは、どのような専門サービスを提供していますか?
• そのベンダーは、新規ユーザー向けのトレーニングを提供していますか? 提供している場合、そのトレーニングはどのようなものですか?
• そのベンダーのカスタマーサポートは、年中無休で提供されていますか? 提供されている場合、サポートの内容はどのようなものですか?
• そのベンダーでは、問題発生時に専門のチームやアドバイザーに相談できますか?