Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable ブログ

ブログ通知を受信する

セキュリティチーム:脆弱性対応について知っておくべきこと

Tenable の Predictive Prioritization は、データサイエンスと機械学習を活用して、サイバーセキュリティチームの脆弱性検出、パッチ適用、修復活動を支援します。  

エンタープライズ系ソフトウェアでは、重大な脆弱性が毎週のように検出、公開されており、セキュリティチームは被害を最小限に抑えようとパッチ適用に奔走しています。

多くの場合、こうした措置はビジネスニーズや戦略的なセキュリティの検討事項に基づいておらず、その日に検出または公開された特定の脆弱性への対応にすぎません。これでは問題の根本的な解決にはならないため、新たな脆弱性が繰り返し発生します。これにより不要なダウンタイムが生じ、すでに疲弊しているサイバーセキュリティチームが限界に達してしまいます。

「脆弱性に対応するセキュリティ担当者の間では、ハムスターの回し車で走らされているような苦痛と表現することもあります」と、Tenable の製品マーケティング担当副社長である Gavin Millard は、先日開催されたウェビナー「優先度付けにデータサイエンスを活用する」で語りました。 

「検出された脆弱性に対応する場合、基本的には調査を行ったうえで修復するか、補完コントロールを適用します。新しい脆弱性が絶えず検出されるので、対処しなければならない脆弱性は雪だるま式に増え続けます」と、Millard は付け加えました。

また、Millard は「こういった事態を避けることは可能」とも指摘しています。

データサイエンスのような学問を機械学習などの技術と組み合わせることで、ソフトウェア脆弱性に対する包括的な修復方法を確立できます。

新たな視点から問題を捉えることで、毎日のように発生する大量のソフトウェア脆弱性に対して、CISO とそのセキュリティチームが対応すべき優先順位を見極め、企業にとって真の脅威となっている欠陥にパッチを当てるためにリソースを割り当てることが可能になります。

そこで役立つのが、Predictive Prioritization です。

今年初めにリリースされた Predictive Prioritization は、Tenable が収集した脆弱性データをサードパーティ脆弱性および脅威データと組み合わせ、Tenable Research が開発した最新のデータサイエンスアルゴリズムを活用して分析します。この分析に基づいて、すべての Vulnerability Priority Rating (VPR) を割り当て、毎日更新します。脆弱性管理チームは、Predictive Prioritization 機能を活用することで、組織のビジネスニーズに合わせて脆弱性を評価できます。 

脆弱性管理の弱点を克服する

Tenable の依頼を受けて Ponemon Institute が実施した最新の調査レポート「事業運営におけるサイバーリスクの測定と管理」では、新たなセキュリティ対策の必要性が示されています。Ponemon Institute は、米国、英国、ドイツ、オーストラリア、メキシコ、日本の IT セキュリティ担当者2,410人に調査を行いました。 

回答者の半数 (51%) が、脆弱性への対応よりも手動による作業に時間を費やしており、大規模なバックアップが必要になっていると答えています。事実、回答者の48%が、手動による作業への依存によって、組織による脆弱性への対応が後手に回っていると答えています。

保護を最も必要とする資産の優先度付けに脅威インテリジェンスを組み込んでいると答えた回答者は、わずか39% でした。また、組織のアタックサーフェスに関して、十分なインサイトが得られている答えた回答者は、3分の1未満 (29%) でした。

Predictive Prioritization は、次のような問題を解決することを目的としています。 

  • 手動プロセスへの依存を減らす
  • リソースに制約のある CISO が最新の優れた脅威インテリジェンスにアクセスできるようにする 
  • エンタープライズセキュリティが担う責任の増加に対応するために、アタックサーフェスの全体像を明確化

すべての脆弱性を重大と見なすことで生じる弊害 

脆弱性情報データベース (National Vulnerability Database, NVD) によれば、2018年に16,500件以上の脆弱性が公開されました。このうちの15% は、共通脆弱性評価システム (CVSS) スコアが「9」以上でした。

この手法では、重大度の低い脅威も顕著化させてしまいます。

「すべての問題が重大と見なされてしまうと、重大度の意味がなくなってしまいます」と、Millard はウェビナーで指摘しています。

Predictive Prioritization は、従来の CVSS 分析を改良し、特定の脆弱性の技術的精巧さを重視するのではなく、ソフトウェアの欠陥によってエンタープライズが抱えている実際のリスクを考慮した動的スコアを生成します。「私にとって、CVSS は履歴書のようなものです。その人物の主な特徴は把握できても、その真の個性とそれがどのように生かされているかを知ることはできません」と、Millard は CVSS の改善の必要性を訴えたカーネギーメロン大学の調査レポート「Toward Improving CVSS」を引用しながら説明しました。

2018年12月5月に公開された CVSS 調査に関するブログ記事の中で、カーネギーメロン大学研究所の職員である Deana Schick 氏は次のように述べています。「CVSS は、脆弱性の技術的な重大度を測定するために開発されたものですが、脆弱性の優先度付けとリスク評価の手段として誤って使用されています。採点アルゴリズムは妥当性に欠けており、コミュニティが意図された機能を理解するための透明性もありません。さらに、CVSS をリスクスコアとして誤用することで、CVSS から分かることを正しく把握することができなくなります。」

Tenable のウェビナーで、Millard は次のように説明しています。「CVSS は技術的側面が強く、脆弱性の基本的かつ一時的な環境指標に重点を置いているため、脆弱性によってもたらされるリスクの実態を把握することはできません。」 

Predictive Prioritization によって得られる「Vulnerability Priority Rating」は、Tenable の世界中のリソースから収集された最新情報に基づいて、毎日更新されます。簡単に言うと、Predictive Prioritization と Vulnerability Priority Rating により、直ちに修復が必要な脆弱性を約97% 減らすことができます。これにより、脆弱性管理チームは攻撃に悪用される可能性が最も高い、残り3%の脆弱性を明確に把握することができます。

もっと詳しく

関連記事

最新のサイバー攻撃に対する不安はないですか?

下にメールアドレスをご記入ください。最新の情報が確認できる Cyber Exposure アラートがインボックスに送信されます。

tenable.io

30 日間無料


最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

tenable.io 購入

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 年間サブスクリプションをご購入ください。

65 資産

サブスクリプションオプションを選択してください。

今すぐ購入

Nessus Professional を無料で試す

7 日間無料

Nessus® は、最も包括的な脆弱性スキャナーです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様の IT チームが専念して活動できるようにします。

Nessus Professionalを購入する

Nessus® は、最も包括的な脆弱性スキャナーです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様の IT チームが専念して活動できるようにします。

複数年ライセンスをご購入いただくと割引が適用されます。拡張サポートを追加すると、24 時間x365 日、電話、コミュニティ、チャットサポートにアクセスできます。

ライセンスをお選びください

複数年ライセンスをご購入いただくと割引が適用されます。

サポートとトレーニングを追加

Tenable.io を 30 日間無料でお試しください

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable.io を購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 年間サブスクリプションをご購入ください。

65 資産

サブスクリプションオプションを選択してください。

今すぐ購入

Tenable.io Web Application Scanningを試す

30 日間無料

Tenable.ioプラットフォームの一部として最新のアプリケーション用に設計された、最新のウエブアプリケーションのスキャンサービスの全機能にアクセス可能です。手作業による労力や重大なウエブアプリケーションの中断なしに、脆弱性のオンラインポートフォリオを安全に高精度でスキャンします。 今すぐサインアップしてください。

Tenable.io Web Application Scanningを購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 年間サブスクリプションをご購入ください。

5 FQDN

3,578ドル

今すぐ購入

Tenable.io Container Securityを試す

30 日間無料

脆弱性管理プラットフォームに統合された唯一のコンテナセキュリティ製品の全機能にアクセス可能です。コンテナイメージの脆弱性、マルウェア、ポリシー違反を監視継続的インテグレーション/継続的デリバリー(CI / CD)システムと統合し、DevOps プラクティス、セキュリティ強化、および企業のポリシーコンプライアンスをサポートします。

Tenable.io Container Securityを購入する

Tenable.ioのContainer Securityは、ビルドプロセスと統合することにより、コンテナイメージのセキュリティ(脆弱性、マルウェア、ポリシー違反など)を可視化し、シームレスかつ安全なDevOpsプロセスを実現します。

Tenable Lumin を試用する

30 日間無料

Tenable Lumin を使用して、Cyber Exposure を可視化および調査し、リスクの軽減を追跡し、競合他社に対してベンチマークしましょう。

Tenable Lumin を購入する

Tenableの担当者にお問い合わせいただき、組織全体に対するインサイトを得て、サイバーリスクを管理する上で Lumin がいかに役立つかについて、Tenable の営業担当者までお問い合わせください。

Tenable.cs を試してみる

30 日間無料で Tenable.cs にフルアクセス。クラウドインフラの設定ミスを、ソフトウェア開発ライフサイクルの設計、構築、実行時を通じて検出して修正できます。

Tenable.cs を購入する

クラウドセキュリティについてもっと詳しく、コードからクラウドまでの各段階でセキュリティを確保できるか、営業担当にお問い合わせください。