Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable ブログ

ブログ通知を受信する

脆弱性管理プログラムを成功に導くためのベストプラクティス

脆弱性管理プログラムを成功に導くためのベストプラクティス

危機に直面するとセキュリティチームの効率性が急に高まることがありますが、平常時でもセキュリティに対して同じアプローチを取る必要があります。ここでは、4 つのベストプラクティスと新しい Tenable.io の機能をご紹介します。

危機に直面したセキュリティチームが急に抜群の効率を発揮することにお気づきですか。たとえば、Log4j の脆弱性を悪用する攻撃が発覚したような場合、リスクを軽減するために全部門が一丸となって迅速に対応します。危機発生時は脆弱性の深刻度について議論したり、会議や変更のレビューを行ったりする時間はなく、潜在的な影響を最小限に抑えるために迅速なタスクの調整、目標設定、緊急作業にとりかかるからです。セキュリティチームは企業全体のサポートを受け、多くの場合、企業全体が初めて共通の目標を共有するのです。

なぜ、緊急時でないとこのような迅速かつ効率的なセキュリティ対策を取れないのでしょうか。 なぜ、緊急時のパニックがないと目標を共有できないのでしょうか。 なぜ、リーダーシップは他のすべての深刻な VPR の脆弱性対策の目標を常に共有しないのでしょうか。 (ビジネスとサイバーセキュリティの間に存在する壁についてはこちらを参照してください。) なぜ、脆弱性の深刻度や公開された深刻な脆弱性を突いた攻撃が企業環境に与える影響についてまだ 議論しているのでしょうか。効果的な脆弱性管理プログラムでは、事後対応から事前対応に移行し、共通のポリシーと一連の手順を構築する必要があります。そうすれば、企業はプログラムを成長させ、成熟させることができます。その達成方法についてはこちらこちらをご参照ください。

このブログでは、脆弱性管理プログラムを成功させるための 4 つのベストプラクティスと、Tenable.io の新機能をご紹介します。このベストプラクティスを実践するとより良い目標が設定でき、大問題となるような脆弱性が報道された場合でも対策の進捗状況が追跡できます。

万が一のパンクに備える

出先でタイヤがパンクしてしまったことはありませんか? タイヤのパンクは予期せぬ時に起こります。修理するために、予定が崩れて一日が台無しになってしまうこともあります。パンクしたままでは走行できないので真っ先にタイヤを修理しなければなりません。

パンクを完全に未然に防ぐことはできませんが、その可能性を減らすには定期的な点検が有効です。タイヤの位置を交換し、空気圧をいつも適正に保ち、必要に応じて修理し、工事現場を通るときはタイヤに釘が刺さらないように気を付けます。タイヤの点検方法を知っていると、楽しい一日が台無しになってしまうリスクを減らすことができます。

脆弱性管理にも同じ原則が当てはまります。緊急度の高い脆弱性が公開されると迅速に行動して対処します。他の作業を停止し、対象を絞ったスキャンを実行し、脆弱性のある資産を見つけて、総力を結集しパッチを適用します。しかし、タイヤのシナリオとは違って、多くの場合、ここで行動をストップしてしまいます。 今後の危機の予防に役立つ継続的なメンテナンスを忘れているのです。

平常時のパッチ適用はスキャン結果次第で実行しています。(ところで、このアプローチは重大な問題が何か、さらに重要なことには、探している脆弱性がわかっている場合にのみ効果的です。) スキャン結果から脆弱性のリストを取得し、パッチを適用していきます。そして、ネットワーク上のすべての脆弱性にパッチを適用しようとします (常に失敗するのですが)。

では、どうすればよいのでしょうか。将来の危機を予防するにはどのようなメンテナンスが必要なのでしょうか。

成功する脆弱性管理プログラムの構築

成功する脆弱性管理プログラムの構築に役立つ提案が 4 つあります。

  1. 目標に基づいて脆弱性管理プログラムを構築する。脆弱性管理プログラムの具体的で明確な目標を設定し、それらをどのように測定して提示するかを把握することが重要です。目標は、リスクや脅威の管理に関する場合もあれば、セキュリティパッチの監査を特定のレベルに維持することである場合 (または両方の場合) もあります。目標を明確にすると、脆弱性管理プログラムに関わるすべての人にプログラムの目的を理解してもらえます。
  2. 成功を定義する戦略を立てる。成功を導くための戦略を策定するには、スキャンの頻度、報告の頻度、優先順位の設定が重要です。すべての利害関係者によって合意された明確なプロセスを使うことで、セキュリティチームは、成功がどのように測定されるかを確実に把握でき、タスクに集中して優先順位を付けることができます。
  3. 事後対応から事前対応に移行する。脆弱性管理では、十分な情報に基づいた意思決定を行い、企業に対するリスクの程度に基づいて、最初に修正する脆弱性に事前に優先順位を付ける必要があります。そのためには、ネットワーク上の深刻な脆弱性、脆弱性が存在する資産、および脆弱性が悪用される可能性を継続的に把握する必要があります。そして、リスクの高い脆弱性に最初に事前にパッチを適用します。
  4. 脆弱性管理プログラムを他のテクノロジーと併用する。強力な脆弱性管理プログラムは、単独のアクションで完結するものではありません。他の多くの IT やセキュリティのソリューションは実行中のプロジェクトです。新しいファイヤーウォールの導入、VPN の設定、クラウドへの移行 (これはなかなか完了しない) などが並行して存在しています。ですから、最も効果的な脆弱性管理プログラムは、人、プロセス、テクノロジーの有効性の監査手段としてスキャンを位置付けて、ギャップ、エラー、改善すべき領域を見つけるために活用します。たとえば、何にパッチを適用したらよいかがわかるのはスキャンではなくパッチのためのソリューションです。スキャンは、パッチが適用されなかったものを検出します。ベストプラクティスとして、他のテクノロジーを使用して環境で使用可能なパッチを特定してから、脆弱性管理プログラムを使用して他のテクノロジーとスキャンの間のギャップを特定する必要があります。

Tenable.io の新機能 

脆弱性管理プログラムを事後対応から事前対応に移行するために、Tenable は、Tenable.io の新機能を実装しました。新機能の活用で、メンテナンスプログラムを推進し、目標を定義して成功に向けて積極的に取り組むことができます。また、深刻度の高い脆弱性が報道されたときにも、効果的に追跡できます。

Tenable.io Remediation screenshot

修復の目標

修復目標の設定は、脆弱性管理プログラムを事後対応から事前対応に移行するのに役立ちます。フィルターとタグを使用して進行中のプログラムの目標を作成し、それらを個人またはチームに割り当てて、目標達成度を測定します。目標が 30 日以内に 8 以上の VPR のすべての脆弱性にパッチを適用することである場合、目標に向けた進捗状況が示され、継続的に更新されるレポートで成功達成度が明らかになります。

修復プロジェクト

修復プロジェクトは、状況に応じてプロジェクトの目標を達成するのに役立ちます。フィルターとタグを使用して、作業を定義し、範囲 (修復済みまたは進行中) を決定し、プロジェクトを個人またはチームに割り当て、修復が完了するまで追跡できます。たとえば、戦術的な修復プロジェクトで、5 日以内にすべての Log4j の脆弱性にパッチを適用することが目標である場合、パッチが適用されたらプロジェクトは完了します。また、進行中のプロジェクトを追跡することもできます。たとえば、脆弱性管理プログラムのメンテナンスを支援するために、現在および今後の深刻な PCI の脆弱性を適切な担当者に継続的に割り当てて修正されるようにできます。

Tenable.io screenshot CISA alerts2

まとめ

成功する脆弱性管理プログラムは、危機が発生するたびに絶えず対処しているとなかなか構築できません。脆弱性管理プログラム全体に焦点を合わせる必要があります。タイヤのパンクと同様に、どれだけ点検しても常に防げるものではありませんが、具体的な目標を持った脆弱性管理プログラムを構築することは、サイバー衛生を強化し、危機的な状態を予防するための最良の方法です。

Tenable を活用して、事前対応型の強力なメンテナンスプログラムを構築しましょう。詳細については、Tenable.io ユーザーガイドの修復のセクションをご覧ください。

関連記事

最新のサイバー攻撃に対して脆弱ではありませんか?

下にメールアドレスをご記入ください。最新の情報が確認できる Cyber Exposure アラートがインボックスに送信されます。

tenable.io

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

tenable.io 購入

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

65 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Nessus Professional を無料で試す

7 日間無料

Nessus® は、最も包括的な脆弱性スキャナーです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様の IT チームが専念して活動できるようにします。

Nessus Professionalを購入する

Nessus® は、最も包括的な脆弱性スキャナーです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様の IT チームが専念して活動できるようにします。

複数年ライセンスをご購入いただくと割引が適用されます。拡張サポートを追加すると、24 時間x365 日、電話、コミュニティ、チャットサポートにアクセスできます。

ライセンスをお選びください

複数年ライセンスをご購入いただくと割引が適用されます。

サポートとトレーニングを追加

Tenable.io

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable.io を購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

65 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Tenable.io Web Application Scanningを試す

Tenable.ioプラットフォームの一部として最新のアプリケーション用に設計された、最新のウエブアプリケーションのスキャンサービスの全機能にアクセス可能です。手作業による労力や重大なウエブアプリケーションの中断なしに、脆弱性のオンラインポートフォリオを安全に高精度でスキャンします。 今すぐサインアップしてください。

Tenable.io Web Application Scanningを購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

5 FQDN

3,578ドル

今すぐ購入する

Tenable.io Container Securityを試す

脆弱性管理プラットフォームに統合された唯一のコンテナセキュリティ製品の全機能にアクセス可能です。コンテナイメージの脆弱性、マルウェア、ポリシー違反を監視継続的インテグレーション/継続的デリバリー(CI / CD)システムと統合し、DevOps プラクティス、セキュリティ強化、および企業のポリシーコンプライアンスをサポートします。

Tenable.io Container Securityを購入する

Tenable.ioのContainer Securityは、ビルドプロセスと統合することにより、コンテナイメージのセキュリティ(脆弱性、マルウェア、ポリシー違反など)を可視化し、シームレスかつ安全なDevOpsプロセスを実現します。

Tenable Lumin を試用する

Tenable Lumin を使用して、Cyber Exposure を可視化および調査し、リスクの軽減を追跡し、競合他社に対してベンチマークしましょう。

Tenable Lumin を購入する

Tenableの担当者にお問い合わせいただき、企業全体に対するインサイトを得て、サイバーリスクを管理する上で Lumin がいかに役立つかについて、Tenable の営業担当者までお問い合わせください。

Tenable.cs を試してみる

製品のすべての機能にアクセスして、クラウドインフラの設定ミスを検出、修正して、実行段階の脆弱性を表示できます。今すぐ無料トライアルにご登録ください。

営業担当者に問い合わせて Tenable.cs

Tenable.cs Cloud Security について詳しくは営業担当者にお問い合わせください。クラウドアカウントのオンボーディングは簡単で、数分でクラウドの設定ミスと脆弱性が把握できます。

Nessus Expert を無料で試す

7 日間無料

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

すでに Nessus Professional をご使用ですか?
Nessus Expert にアップグレードすると、7 日間無料でご利用いただけます。

Nessus Expert を購入する

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

ライセンスをお選びください

複数年ライセンスをご購入いただくと割引が適用されます。

7 つの追加サポート