Tenable ブログ
ブログ通知を受信する
リスクベースの脆弱性管理で広範囲にわたるアタックサーフェスを保護
クラウド、人工知能 (AI)、機械学習、その他の飛躍的な技術的進歩は、現代の作業環境を根本的に変えつつあります。 新たな資産やサービスにより、柔軟性が向上し、成長の可能性がもたらされ、より多くのリソースへのアクセスが可能になりました。 ただし、同時に新たなセキュリティリスクも生まれました。 拡大を続ける脅威環境全体で脆弱性を管理するには、ポイントソリューションや事後対応型のパッチ管理を超えた、リスクベースのアプローチが必要です。
サイバー脅威の状況は急速に進化しています。 広範なデジタル環境の保護という困難な課題にサイバー専門家が手を焼いていることを承知している攻撃者は、複雑さが増し拡大を続けているアタックサーフェスを狙っています。
Cybersecurity Ventures の最近のレポートは、まさにそれを警戒すべき状況として取り上げています。 本年度のサイバー犯罪による被害額は世界で 9.5 兆ドルに達すると予想されており、この問題は 1 回のデータ漏洩の平均コストの増加 (IBM の「Cost of a Data Breach 2024」レポートによると 488 万ドル) によってさらに深刻化しています。
MOVEit Transfer の脆弱性 (CVE-2024-5806) の悪用、その他の最近話題になった漏洩がこの問題を身近なものにしています。どのような規模の組織にとっても、強固な脆弱性管理手法の導入が急務であることは明らかです。 リスクベースの観点に立ったアプローチでこの課題に取り組まない組織は、今後も遅れをとり続ける可能性があります。
こういった攻撃は、攻撃者が悪用する前に、セキュリティ上の脆弱性の特定、優先順位付け、軽減を行うリスク重視の戦略が必要であることを浮き彫りにしています。 言い換えれば、脆弱性管理手法を導入して成熟させ、ビジネスリスクに先んじるためには、包括的なアプローチを採用して実際のリスクを直接特定し対処することが必要なのです。
コンプライアンス項目の単なるチェックに留まらない脆弱性管理
従来、多くの組織は、脆弱性管理をチェックボックスにチェックを入れる単なるコンプライアンス対応作業だと見なしていました。しかし、そのアプローチはもはや効果的ではありません。
MOVEit Transfer のバグのような重大な脆弱性を悪用したサイバー攻撃が 1 回成功すると、数百万件のレコードが漏洩する可能性があります。 そのため、組織は脆弱性管理をいつまでも 1 回限りの「設定したら後はお任せ」とったようなタスクとして扱うことはできません。 今日の絶え間なく変化する脅威状況では、リスクに焦点を当てた脆弱性管理を、サイバーセキュリティ戦略の不可欠かつ継続的な一部と考えるべきです。以下にその理由を示します。
アタックサーフェスは複雑です。 DX 時代のアタックサーフェスは、データセンターやオンプレミスのシステムやネットワークに限定されるものではなくなりました。 IT セキュリティチームは、数万以上の資産が含まれる広範なアタックサーフェスを管理する責任を負っていますが、それぞれの資産には重大度の異なる複数の脆弱性が常に存在しています。現代の企業の IT 資産には、以下のような情報が含まれています。
- クラウドのインフラとサービス
- ウェブアプリケーション
- リモートワーカー
- インターネットに接続された膨大な数のデバイス
- IoT 環境と OT 環境
従って、DX 時代の脆弱性管理は、進化するアタックサーフェスと同様に包括的かつ柔軟であることが求められます。
すべての脆弱性が同じというわけではありません。 実用的なセキュリティ管理を行うには、評価の根拠が弱い脆弱性スコアリングシステムとは異なる、実際のビジネスリスクに基づいた脆弱性の優先順位付けが鍵となります。 運用に影響を与える可能性が最も高い、最も重大な脆弱性にリソースを集中させることで、的を絞った効果的な解決が可能になり、手持ちの時間とリソースで最大の効果が得られます。
時間は非常に重要です。 脆弱性へのパッチ適用と修正をタイムリーに行うことが極めて重要になります。 重大な脆弱性が放置されていると、攻撃者に悪用のチャンスを与えてしまいます。 効率的な脆弱性管理を実施すれば放置期間が短縮され、潜在的な侵害から組織を保護することができます。
協力も不可欠です。 リスクを重視した脆弱性管理を行うには、部門間だけでなく、 主要なステークホルダー、ベンダー、パートナーも関与して協力し合う必要があります。
IT、セキュリティ、ビジネスユニットなどの間を隔ていたサイロ化が、進歩を妨げています。 古い考え方では、セキュリティ問題は IT の範疇でしたが、 実際にはセキュリティは全員の責任です。
コラボレーションを強化すると、セキュリティリスクを総合的に理解する文化を組織全体で構築できます。 また、リスクレベルをビジネス目標に合わせることで、協調的で実行可能な脅威対応が容易になり、ビジネス目標に有意義な影響を与えることもあります。
リスクベースの脆弱性管理プログラムを構築する 6 つのステップ
- 包括的な資産インベントリの確保
資産を保護する前に、保護対象を把握する必要があります。 その中には、環境内に一時的にしか存在しない、または頻繁に変更されるシステムやデバイスの管理も含まれます。
包括的で最新の資産インベントリを、脆弱性管理プログラムの基盤とする必要があります。 資産インベントリの作成には、オンプレミスとクラウド内の IT 環境全体にわたるすべてのハードウェアとソフトウェアの資産を把握することが必要です。IoT 環境や OT 環境、ソフトウェアやアプリ開発なども対象となります。
正確なインベントリの維持には、定期的な資産監査が不可欠です。 そのためには単に保有資産を把握するだけでなく、 以下についても詳しい情報を得ることが必要です。
- 資産の配置場所
- 資産の使用者
- 運用に対する各資産の重要度
この知識を脅威インテリジェンスと組み合わせることで、チームは資産の重要度に基づいて脆弱性に優先順位を付けることができます。
- 脆弱性の継続的な評価と監視
攻撃者は休むことなく活動しているため、組織の脆弱性管理対策も休むわけにはいきません。 リアルタイムの脆弱性評価と継続的なスキャンツールを導入すると、新しい脆弱性や新たなサイバーリスクを早期に検出できるようになります。 この予防型のアプローチにより、チームは問題がセキュリティ侵害のような重大なインシデントに発展する前に対処できます。 自動化の採用も手作業を減らし、作業時間を短縮してエラーを減らし、一貫性のある継続的な監視を実行してサイバー防御態勢を成熟させることに繋がります。
- 重要事項への集中
共通脆弱性識別子によるスコアリングシステム (CVSS スコア) において深刻度が「重大」または「高」である脆弱性は必ずしも差し迫った脅威であるとは限りません。 脆弱性の中には、リスクスコアがどうであれ、その組織にとって他より大きなリスクとなるものもあります。
危険度に基づいた優先順位付けをすると、限られたリソースを運用に影響を与える可能性が最も高い脆弱性に集中させることができます。リスクに焦点を当てた軽減策がセキュリティ態勢を改善し、ビジネスのレジリエンスを強化します。
- セキュリティギャップを攻撃者が悪用する前に解消
パッチをタイムリーかつ正確に当てれば、脆弱性に関連するリスクのほとんどが最終的に軽減されます。 そのためには、構造化されたパッチ管理プロセスを確立し、明確なタイムラインを設定することが不可欠です。 役割、責任、説明責任を割り当てることで、チームはサイバーエクスポージャーに迅速に対応できるようになります。 その結果、セキュリティギャップが解消され、露出の期間が短縮されて、データ漏洩の可能性が低減されます。
- 業界で信頼されている脅威インテリジェンスを統合
ほとんどのセキュリティチームには、進化する脆弱性に対応するための時間、リソース、スキルが足りません。 だからこそ、Tenable Research が提供するような、業界で信頼されている脅威インテリジェンスを組み込んだ脆弱性管理ソリューションを使用することが大切なのです。
脆弱性の脅威インテリジェンス、自動化ツール、AI によって、攻撃者が実際に使用する戦術に関するインサイトが強化されます。 チームは攻撃経路と手法を把握することで、悪用される可能性に基づいて脆弱性の優先順位付けを行うことができます。 それを土台にセキュリティ制御を先行的に調整すれば、一歩先を行くことができるのです。
- 報告、測定、ベンチマーキング
脆弱性データは、プログラムの有効性を追跡する上での鍵となります。 カスタマイズされた自動レポート機能を備えた脆弱性管理プラットフォームは、ビジネスの文脈を踏まえてチーム間でセキュリティリスクを共有する際に役立ちます。
セキュリティデータをリアルタイムで収集する脆弱性管理ツールの活用をご検討ください。 こうしたツールを使用すると、攻撃者よりも先に傾向を特定し、セキュリティギャップを見つけることができます。 脆弱性管理プログラムの影響を追跡して測定し、脆弱性管理プロセスを最適化して、アタックサーフェスを縮小させることができます。
脆弱性管理手法の成熟度を高める 5 つのヒント
堅牢な脆弱性管理プログラムを作成することは、アタックサーフェスを保護するための第一歩にすぎません。 効果的な脆弱性管理を実現するには継続的なプロセスが必要です。 脅威環境が進化する中で、プログラムの進化と成熟を図るための 5 つのヒントを以下に紹介します。
- プロセスの標準化と自動化
- 標準化された脆弱性スキャン、リスク評価、優先順位付け、修正、報告のプロセスを作成します。
- 自動化された脆弱性評価および管理ツールを使用して、手作業を合理化し、エラーを減らすことで、セキュリティチームが他のニーズに集中できるようにします。
- 脆弱性管理ツールへの投資
- Tenable Vulnerability Management などの脆弱性管理ソリューションの導入をご検討ください。 包括的なスキャン機能、リアルタイムの脅威インテリジェンス、リスクに基づく優先順位付け機能を提供します。
- Tenable の VPR (脆弱性優先度格付け) は、お客様固有の環境のリスク評価に役立ちます。 これは、しっかりした根拠に基づいた評価システムです。このソリューションには高度なレポート作成機能も含まれています。
- また、コントロールが意図したとおりに機能することを確認するため、内部および外部のペネトレーションテストを実施することもご検討ください。
- セキュリティチームの強化
- セキュリティチームには、脆弱性管理プラットフォームの効果的な活用に必要なトレーニング、リソース、セキュリティツール、脅威インテリジェンスを提供します。 リソースや担当者が限られている場合は、脆弱性管理プログラムをカスタマイズする際に Tenable などのセキュリティコンサルタントとの提携をご検討ください。
- セキュリティ意識の向上を促進
- 常にセキュリティを意識する文化を育みます。
- 従業員、主要ステークホルダー、ベンダー、パートナーに対し、セキュリティのベストプラクティスとポリシーおよびコンプライアンス要件についての教育を実施します。
- セキュリティチームが、以下のような重要な脆弱性管理タスクを管理できるツール、セキュリティポリシー、手順を使用していることを確認してください。
- リスク管理
- 脆弱性へのパッチの適用
- 不審なアクティビティの報告
- 常にセキュリティを意識する文化を育みます。
- 常に改善
- 以下のような KPI (主要業績評価指標) を測定して傾向を追跡します。
- 特定された脆弱性の数
- リスクの許容度としきい値
- 修正までの時間
- リスクの削減
- 主要なセキュリティ指標を使用して、改善すべき領域を見つけます。
- セキュリティギャップを解消します。
- 脆弱性管理プログラムを定期的に見直します。
- 以下のような KPI (主要業績評価指標) を測定して傾向を追跡します。
Tenable Vulnerability Management のメリット
Tenable Vulnerability Management と Tenable Security Center を使用すると、ネットワーク上のすべての資産と脆弱性を包括的に把握することが可能です。したがって、サイバーリスクを理解し、最初に修正すべき脆弱性を確認できます。 2 つのソリューションの主な違いは、その管理方法にあります。Tenable Vulnerability Management はクラウドで、Tenable Security Center はオンプレミスで管理されます。
これらのソリューションは、以下の機能を提供します。
- 包括的な可視性
- 包括的な資産検出ツールと脆弱性スキャナーの機能を使用します。
- リスクベースの優先順位付け
- 組織に最大のリスクをもたらす脆弱性を修正します。
- 自動化されたワークフロー
- ベストプラクティスのプロセスとツールを使用して、脆弱性管理の合理化と自動化を行います。
- 時間、リソース、費用を節約します。
- ヒューマンエラーやコンプライアンス不備の可能性を減らします。
- アクションにつながるインサイト
- 業界最先端の脅威インテリジェンスからインサイトを得られます。
- レポートをカスタマイズして、より豊富な情報に基づいてビジネス整合的なセキュリティ上の意思決定を行えるようにします。
- Tenable の専門知識と継続的な脆弱性調査が推進する恒常的な改善を実現し、進化する脅威に先んじることができます。
包括的なリスクベースの脆弱性管理プログラムは、アタックサーフェスを大幅に削減し、セキュリティ態勢を成熟させることに役立ちます。そのような目標の達成を後押しするのが Tenable Vulnerability Management のようなソリューションです。 エンタープライズ全体の脆弱性やその他のセキュリティ上の弱点を先行的に特定し、優先順位を付け、修正するためのツールとインサイトを提供します。
脆弱性管理プログラムを構築して成熟させることは、選択肢ではなく、もはや必須条件です。成熟したセキュリティ戦略の一環としてリスクベースの脆弱性管理が必要です。 効果的な脆弱性管理は、使用するテクノロジーやリソースだけにかかっているのではなく、 ベストプラクティスを採用し、脆弱性管理プログラムをビジネス目標に合わせて調整して、ビジネスのレジリエンスを確保することも重要です。
Tenable Vulnerability Management を使用すると、アタックサーフェス全体の先行的な保護と防御にどのように役立つかについては、こちらをご覧ください。
関連記事
Context Is King: From Vulnerability Management to Exposure Management
November 7, 2024Vulnerability management remains a cornerstone of preventive cybersecurity, but organizations still struggle with vulnerability overload and sophisticated threats. Tenable’s new Exposure Signals gives security teams comprehensive context, so they can shift from vulnerability management to exposure management and effectively prioritize high-risk exposures across their complex attack surface.
Cybersecurity Snapshot: New Guides Offer Best Practices for Preventing Shadow AI and for Deploying Secure Software Updates
October 25, 2024Looking for help with shadow AI? Want to boost your software updates’ safety? New publications offer valuable tips. Plus, learn why GenAI and data security have become top drivers of cyber strategies. And get the latest on the top “no-nos” for software security; the EU’s new cyber law; and CISOs’ communications with boards.
Cybersecurity Snapshot: Tenable Report Warns About Toxic Cloud Exposures, as PwC Study Urges C-Suite Collaboration for Stronger Cyber Resilience
October 18, 2024Check out invaluable cloud security insights and recommendations from the “Tenable Cloud Risk Report 2024.” Plus, a PwC study says increased collaboration between CISOs and fellow CxOs boosts cyber resilience. Meanwhile, a report finds the top cyber skills gaps are in cloud security and AI. And get the latest on SBOMs; CIS Benchmarks; and cyber pros’ stress triggers.
Cybersecurity Snapshot: CISA Warns of Global Spear-Phishing Threat, While OWASP Releases AI Security Resources
November 8, 2024CISA is warning about a spear-phishing campaign that spreads malicious RDP files. Plus, OWASP is offering guidance about deepfakes and AI security. Meanwhile, cybercriminals have amplified their use of malware for fake software-update attacks. And get the latest on CISA’s international plan, Interpol’s cyber crackdown and ransomware trends.
Context Is King: From Vulnerability Management to Exposure Management
November 7, 2024Vulnerability management remains a cornerstone of preventive cybersecurity, but organizations still struggle with vulnerability overload and sophisticated threats. Tenable’s new Exposure Signals gives security teams comprehensive context, so they can shift from vulnerability management to exposure management and effectively prioritize high-risk exposures across their complex attack surface.
Securing Financial Data in the Cloud: How Tenable Can Help
November 4, 2024Preventing data loss, complying with regulations, automating workflows and managing access are four key challenges facing financial institutions. Learn how Tenable can help.
- Risk-based Vulnerability Management
- Risk-based Vulnerability Management
- Tenable Vulnerability Management
- Vulnerability Management