Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable ブログ

ブログ通知を受信する

IT の完全な可視化にはビジネスリスクの文脈が必要

IT の完全な可視化にはビジネスリスクの文脈が必要

セキュリティチームにとっての究極の目標の 1 つは、すべての IT 資産について包括的な最新の詳細情報を常に得られるようにすることです。 そのためには、まず「可視化」が真にもたらすものを理解する必要があります。可視化は、単に環境内の資産を特定して、対処する必要がある課題を判別するだけのものではないのです。

情報セキュリティフレームワークの原点や、過去 20 年以上にわたるベストプラクティスを振り返ってみると、最初のステップは「検出」、「特定」、「理解」などであることがわかります。 これらは総じて、何を保有しているかわからなければ保護できないことを示しています。 よりはっきり言うと、何を保有しているかわからなければ、自社環境内のどこをどのように保護すればよいのか適切な判断ができないということです。 成功を収めているセキュリティプログラムでは、企業のインフラ全体がどのような資産で構成されているかを幅広く可視化することが、重要な基本要素となっています。

この問題は広く認知されているにもかかわらず、現在も、ほとんどのセキュリティ担当者は完全な可視化を実現することは非常に難しいと感じています。 セキュリティチームは、さまざまなツールを実装し、資産管理システムやその他の信頼できる情報源からのデータセットを統合するために多くの時間を費やしています。それでも、自社環境を本当に理解していると自信を持って言えるチームはごく少数です。 その理由は何でしょうか。 ほとんどは、自社環境を理解しようとする際に、以下の 2 つの重要な質問に答えていないことが原因です。

  • 保有する資産すべてを探して特定しようとしていますか? わかっている資産だけを対象としていませんか?
  • 検出されたセキュリティ上の問題、リスク、企業への影響に関連して、資産の文脈を把握していますか?

何よりもまず、完全な可視化の実現とは、自社環境のすべての技術的な資産を特定して評価することを意味します。これは、ほとんどの IT チームやセキュリティチームが熟知している「把握が容易な」資産だけでなく、すべての資産が対象です。 サーバーや、ワークステーション、ネットワークインフラを支える機器、その他の従来型の IT デバイスをまず網羅するのは正しい方法です。しかし、その他の資産が見逃されたり完全に無視されたりすることも珍しくありません。 他にどんな資産があるのでしょうか。 担当チームによって、以下の資産が特定されているかどうかを確認してみてください。

  • データベース
  • ウェブアプリケーション
  • OT / 産業用制御システム / SCADA / 産業用 IoT デバイス
  • クラウドインフラ
  • 仮想化プラットフォーム
  • コンテナ
  • クラウドオーケストレーションサービス
  • インフラのコード化 (IaC) 設定
  • Active Directory / 認証情報 / グループ
  • 公開されているホスト / ホスト名 / レコード

このリストに挙げられる資産は他にもまだあります。 これらの資産を特定することは、難しすぎると思われるかもしれません。しかし、上記の資産はほとんどのビジネスにとって非常に重要なものであり、サイバー攻撃の標的となるリスクがあります。侵害されれば、企業の財務や評判が影響されます。セキュリティチームが、可視性を向上して自社環境をより詳細に理解できるようにするための有意義な第一歩を踏み出すためには、熟知している従来型の資産に加えて、これらのすべての資産についても把握する必要があります。 

Tenable では、このような資産を安全かつ適切に特定し、そのデータを一元的に集約できるようにするために、Tenable のプラットフォームで使用できるツールを継続的に拡充しています。 脆弱性やその他のセキュリティリスクを見つけるためには、まずその対象を特定して把握する必要があるからです。 くまなく可視化することで、自社環境で最もリスクが高い場所を把握できるようになり、最も重要なリスクを軽減するために必要な措置を講じることが可能になります。

企業によっては、すでに周到に資産インベントリデータを収集し、自社環境の様相をしっかりと把握できるようになっているかもしれません。 しかし、まだ別の落とし穴が潜んでいます。 IT 環境には異種データが大量に存在し、しかも通常は複数の異なるリポジトリに拡散しています。それらのデータをより有効に分析するには、情報を一元的に集約し、さらに収集した情報を標準化する方法も見つけなければならないため、非常に多くの変換作業を行う必要があります。 すべての資産に IP アドレスやホスト名が付いているわけでもなく、コードリポジトリの識別子とコンテナインスタンスの識別子は同じではありません。ウェブアプリケーションはドメイン名や URL で特定できるかもしれませんが、産業用プログラマブルロジックコントローラー (PLC) は既知のネットワークに接続されていない場合もあります。 

多種多様で複雑なのは、基本的な資産の識別子だけではありません。 資産に応じて、検出されるセキュリティ上の問題や脆弱性もすべて多種多様です。サーバーでは CVE 番号が割り当てられた脆弱性を容易に特定できるかもしれません。しかし、IaC の設定ミスには標準的な識別子はありません。 SQL インジェクションやクロスサイトスクリプティングのようなウェブアプリケーションの脆弱性は、一貫して個別に特定できる OS の脆弱性というよりも、テクニックです。 また、Active Directory のセキュリティ問題の根源には、AD の企業全体での機能とアクセス検証方法の問題があり、これは未適用パッチを当てることで修正できるような問題ではありません。 

セキュリティチームが自社環境内のリスクを把握して、どの場所にあるどのリスクを最初に軽減するかを決定しなければならないときに、同種のもの同士 (リンゴ 対 リンゴ) で比較できなければ、足掛かりすらつかめません。 実際には、このような異種のデータの違いは膨大で、「リンゴ 対 ミカン」どころではなく、「リンゴ 対 宇宙船 対 ペンギン 対 形容詞」のようなものです。 このような状況では、検出されたセキュリティ上の問題とともに資産の背後にある文脈を理解することが鍵となります。 検出されたそれぞれの問題がビジネスにもたらすリスクを把握するためには、すべての情報を収集し、一貫した測定可能な方法で標準化する必要があります。 これにより、さまざまなリスクファクターを相互に関連付けられるようになり、最もリスクにさらされている場所とリスクの程度、軽減のための必要な処置について、適切な判断が可能になります。 しかし、現状ではデータの収集は困難です。しかも、何とか収集できたとしても、真に重要な部分に焦点を絞れなければ先には進めません。 大量のスプレッドシートやデータベースを前に、またも、何を最初の足掛かりにすればよいのかと自問することになります。

セキュリティ戦略のアドバイスをお求めですか? Tenable の 2021 Threat Landscape Retrospective をご覧ください。これは、セキュリティ プロフェッショナルが今すぐセキュリティを改善するために使用できる昨年の脅威の状況の包括的な分析を提供します。また、ウェビナー「最新のアタックサーフェス管理: 環境内で最もリスクが高く、優先的に修正する必要があるものを特定して伝える (Exposure Management for the Modern Attack Surface: Identify & Communicate What's Most at Risk in Your Environment and Vital to Fix First)」を視聴してください。

関連記事

最新のサイバー攻撃に対して脆弱ではありませんか?

下にメールアドレスをご記入ください。最新の情報が確認できる Cyber Exposure アラートがインボックスに送信されます。

tenable.io

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

tenable.io 購入

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

65 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Nessus Professional を無料で試す

7 日間無料

Nessus® は、最も包括的な脆弱性スキャナーです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様の IT チームが専念して活動できるようにします。

Nessus Professionalを購入する

Nessus® は、最も包括的な脆弱性スキャナーです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様の IT チームが専念して活動できるようにします。

複数年ライセンスをご購入いただくと割引が適用されます。拡張サポートを追加すると、24 時間x365 日、電話、コミュニティ、チャットサポートにアクセスできます。

ライセンスをお選びください

複数年ライセンスをご購入いただくと割引が適用されます。

サポートとトレーニングを追加

Tenable.io

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

Tenable.io を購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

65 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Tenable.io Web Application Scanningを試す

Tenable.ioプラットフォームの一部として最新のアプリケーション用に設計された、最新のウエブアプリケーションのスキャンサービスの全機能にアクセス可能です。手作業による労力や重大なウエブアプリケーションの中断なしに、脆弱性のオンラインポートフォリオを安全に高精度でスキャンします。 今すぐサインアップしてください。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

Tenable.io Web Application Scanningを購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

5 FQDN

3,578ドル

今すぐ購入する

Tenable.io Container Securityを試す

脆弱性管理プラットフォームに統合された唯一のコンテナセキュリティ製品の全機能にアクセス可能です。コンテナイメージの脆弱性、マルウェア、ポリシー違反を監視継続的インテグレーション/継続的デリバリー(CI / CD)システムと統合し、DevOps プラクティス、セキュリティ強化、および企業のポリシーコンプライアンスをサポートします。

Tenable.io Container Securityを購入する

Tenable.ioのContainer Securityは、ビルドプロセスと統合することにより、コンテナイメージのセキュリティ(脆弱性、マルウェア、ポリシー違反など)を可視化し、シームレスかつ安全なDevOpsプロセスを実現します。

Tenable Lumin を試用する

Tenable Lumin を使用して、Cyber Exposure を可視化および調査し、リスクの軽減を追跡し、競合他社に対してベンチマークしましょう。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

Tenable Lumin を購入する

Tenableの担当者にお問い合わせいただき、企業全体に対するインサイトを得て、サイバーリスクを管理する上で Lumin がいかに役立つかについて、Tenable の営業担当者までお問い合わせください。

Tenable.cs を試してみる

製品のすべての機能にアクセスして、クラウドインフラの設定ミスを検出、修正して、実行段階の脆弱性を表示できます。今すぐ無料トライアルにご登録ください。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

営業担当者に問い合わせて Tenable.cs

Tenable.cs Cloud Security について詳しくは営業担当者にお問い合わせください。クラウドアカウントのオンボーディングは簡単で、数分でクラウドの設定ミスと脆弱性が把握できます。

Nessus Expert を無料で試す

7 日間無料

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

すでに Nessus Professional をご使用ですか?
Nessus Expert にアップグレードすると、7 日間無料でご利用いただけます。

Nessus Expert を購入する

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

ライセンスをお選びください

プロモーション価格の有効期間が12月末日まで延長されました。
複数年ライセンスの場合、よりお求めやすい価格でご購入いただけます。

サポートとトレーニングを追加