脆弱性管理プログラムを成功に導くためのベストプラクティス

危機に直面するとセキュリティチームの効率性が急に高まることがありますが、平常時でもセキュリティに対して同じアプローチを取る必要があります。ここでは、4 つのベストプラクティスと新しい Tenable.io の機能をご紹介します。

危機に直面したセキュリティチームが急に抜群の効率を発揮することにお気づきですか。たとえば、Log4j の脆弱性を悪用する攻撃が発覚したような場合、リスクを軽減するために全部門が一丸となって迅速に対応します。危機発生時は脆弱性の深刻度について議論したり、会議や変更のレビューを行ったりする時間はなく、潜在的な影響を最小限に抑えるために迅速なタスクの調整、目標設定、緊急作業にとりかかるからです。セキュリティチームは企業全体のサポートを受け、多くの場合、企業全体が初めて共通の目標を共有するのです。

なぜ、緊急時でないとこのような迅速かつ効率的なセキュリティ対策を取れないのでしょうか。 なぜ、緊急時のパニックがないと目標を共有できないのでしょうか。 なぜ、リーダーシップは他のすべての深刻な VPR の脆弱性対策の目標を常に共有しないのでしょうか。 (ビジネスとサイバーセキュリティの間に存在する壁についてはこちらを参照してください。) なぜ、脆弱性の深刻度や公開された深刻な脆弱性を突いた攻撃が企業環境に与える影響についてまだ 議論しているのでしょうか。効果的な脆弱性管理プログラムでは、事後対応から事前対応に移行し、共通のポリシーと一連の手順を構築する必要があります。そうすれば、企業はプログラムを成長させ、成熟させることができます。その達成方法についてはこちらとこちらをご参照ください。

このブログでは、脆弱性管理プログラムを成功させるための 4 つのベストプラクティスと、Tenable.io の新機能をご紹介します。このベストプラクティスを実践するとより良い目標が設定でき、大問題となるような脆弱性が報道された場合でも対策の進捗状況が追跡できます。

万が一のパンクに備える

出先でタイヤがパンクしてしまったことはありませんか? タイヤのパンクは予期せぬ時に起こります。修理するために、予定が崩れて一日が台無しになってしまうこともあります。パンクしたままでは走行できないので真っ先にタイヤを修理しなければなりません。

パンクを完全に未然に防ぐことはできませんが、その可能性を減らすには定期的な点検が有効です。タイヤの位置を交換し、空気圧をいつも適正に保ち、必要に応じて修理し、工事現場を通るときはタイヤに釘が刺さらないように気を付けます。タイヤの点検方法を知っていると、楽しい一日が台無しになってしまうリスクを減らすことができます。

脆弱性管理にも同じ原則が当てはまります。緊急度の高い脆弱性が公開されると迅速に行動して対処します。他の作業を停止し、対象を絞ったスキャンを実行し、脆弱性のある資産を見つけて、総力を結集しパッチを適用します。しかし、タイヤのシナリオとは違って、多くの場合、ここで行動をストップしてしまいます。 今後の危機の予防に役立つ継続的なメンテナンスを忘れているのです。

平常時のパッチ適用はスキャン結果次第で実行しています。(ところで、このアプローチは重大な問題が何か、さらに重要なことには、探している脆弱性がわかっている場合にのみ効果的です。) スキャン結果から脆弱性のリストを取得し、パッチを適用していきます。そして、ネットワーク上のすべての脆弱性にパッチを適用しようとします (常に失敗するのですが)。

では、どうすればよいのでしょうか。将来の危機を予防するにはどのようなメンテナンスが必要なのでしょうか。

成功する脆弱性管理プログラムの構築

成功する脆弱性管理プログラムの構築に役立つ提案が 4 つあります。

1. 目標に基づいて脆弱性管理プログラムを構築する。脆弱性管理プログラムの具体的で明確な目標を設定し、それらをどのように測定して提示するかを把握することが重要です。目標は、リスクや脅威の管理に関する場合もあれば、セキュリティパッチの監査を特定のレベルに維持することである場合 (または両方の場合) もあります。目標を明確にすると、脆弱性管理プログラムに関わるすべての人にプログラムの目的を理解してもらえます。
2. 成功を定義する戦略を立てる。成功を導くための戦略を策定するには、スキャンの頻度、報告の頻度、優先順位の設定が重要です。すべての利害関係者によって合意された明確なプロセスを使うことで、セキュリティチームは、成功がどのように測定されるかを確実に把握でき、タスクに集中して優先順位を付けることができます。
3. 事後対応から事前対応に移行する。脆弱性管理では、十分な情報に基づいた意思決定を行い、企業に対するリスクの程度に基づいて、最初に修正する脆弱性に事前に優先順位を付ける必要があります。そのためには、ネットワーク上の深刻な脆弱性、脆弱性が存在する資産、および脆弱性が悪用される可能性を継続的に把握する必要があります。そして、リスクの高い脆弱性に最初に事前にパッチを適用します。
4. 脆弱性管理プログラムを他のテクノロジーと併用する。強力な脆弱性管理プログラムは、単独のアクションで完結するものではありません。他の多くの IT やセキュリティのソリューションは実行中のプロジェクトです。新しいファイヤーウォールの導入、VPN の設定、クラウドへの移行 (これはなかなか完了しない) などが並行して存在しています。ですから、最も効果的な脆弱性管理プログラムは、人、プロセス、テクノロジーの有効性の監査手段としてスキャンを位置付けて、ギャップ、エラー、改善すべき領域を見つけるために活用します。たとえば、何にパッチを適用したらよいかがわかるのはスキャンではなくパッチのためのソリューションです。スキャンは、パッチが適用されなかったものを検出します。ベストプラクティスとして、他のテクノロジーを使用して環境で使用可能なパッチを特定してから、脆弱性管理プログラムを使用して他のテクノロジーとスキャンの間のギャップを特定する必要があります。

Tenable.io の新機能 

脆弱性管理プログラムを事後対応から事前対応に移行するために、Tenable は、Tenable.io の新機能を実装しました。新機能の活用で、メンテナンスプログラムを推進し、目標を定義して成功に向けて積極的に取り組むことができます。また、深刻度の高い脆弱性が報道されたときにも、効果的に追跡できます。

修復の目標

修復目標の設定は、脆弱性管理プログラムを事後対応から事前対応に移行するのに役立ちます。フィルターとタグを使用して進行中のプログラムの目標を作成し、それらを個人またはチームに割り当てて、目標達成度を測定します。目標が 30 日以内に 8 以上の VPR のすべての脆弱性にパッチを適用することである場合、目標に向けた進捗状況が示され、継続的に更新されるレポートで成功達成度が明らかになります。

修復プロジェクト

修復プロジェクトは、状況に応じてプロジェクトの目標を達成するのに役立ちます。フィルターとタグを使用して、作業を定義し、範囲 (修復済みまたは進行中) を決定し、プロジェクトを個人またはチームに割り当て、修復が完了するまで追跡できます。たとえば、戦術的な修復プロジェクトで、5 日以内にすべての Log4j の脆弱性にパッチを適用することが目標である場合、パッチが適用されたらプロジェクトは完了します。また、進行中のプロジェクトを追跡することもできます。たとえば、脆弱性管理プログラムのメンテナンスを支援するために、現在および今後の深刻な PCI の脆弱性を適切な担当者に継続的に割り当てて修正されるようにできます。

まとめ

成功する脆弱性管理プログラムは、危機が発生するたびに絶えず対処しているとなかなか構築できません。脆弱性管理プログラム全体に焦点を合わせる必要があります。タイヤのパンクと同様に、どれだけ点検しても常に防げるものではありませんが、具体的な目標を持った脆弱性管理プログラムを構築することは、サイバー衛生を強化し、危機的な状態を予防するための最良の方法です。

Tenable を活用して、事前対応型の強力なメンテナンスプログラムを構築しましょう。詳細については、Tenable.io ユーザーガイドの修復のセクションをご覧ください。