セキュリティチーム：脆弱性対応について知っておくべきこと

Tenable の Predictive Prioritization は、データサイエンスと機械学習を活用して、サイバーセキュリティチームの脆弱性検出、パッチ適用、修復活動を支援します。  

エンタープライズ系ソフトウェアでは、重大な脆弱性が毎週のように検出、公開されており、セキュリティチームは被害を最小限に抑えようとパッチ適用に奔走しています。

多くの場合、こうした措置はビジネスニーズや戦略的なセキュリティの検討事項に基づいておらず、その日に検出または公開された特定の脆弱性への対応にすぎません。これでは問題の根本的な解決にはならないため、新たな脆弱性が繰り返し発生します。これにより不要なダウンタイムが生じ、すでに疲弊しているサイバーセキュリティチームが限界に達してしまいます。

「脆弱性に対応するセキュリティ担当者の間では、ハムスターの回し車で走らされているような苦痛と表現することもあります」と、Tenable の製品マーケティング担当副社長である Gavin Millard は、先日開催されたウェビナー「優先度付けにデータサイエンスを活用する」で語りました。 

「検出された脆弱性に対応する場合、基本的には調査を行ったうえで修復するか、補完コントロールを適用します。新しい脆弱性が絶えず検出されるので、対処しなければならない脆弱性は雪だるま式に増え続けます」と、Millard は付け加えました。

また、Millard は「こういった事態を避けることは可能」とも指摘しています。

データサイエンスのような学問を機械学習などの技術と組み合わせることで、ソフトウェア脆弱性に対する包括的な修復方法を確立できます。

新たな視点から問題を捉えることで、毎日のように発生する大量のソフトウェア脆弱性に対して、CISO とそのセキュリティチームが対応すべき優先順位を見極め、企業にとって真の脅威となっている欠陥にパッチを当てるためにリソースを割り当てることが可能になります。

そこで役立つのが、Predictive Prioritization です。

今年初めにリリースされた Predictive Prioritization は、Tenable が収集した脆弱性データをサードパーティ脆弱性および脅威データと組み合わせ、Tenable Research が開発した最新のデータサイエンスアルゴリズムを活用して分析します。この分析に基づいて、すべての Vulnerability Priority Rating (VPR) を割り当て、毎日更新します。脆弱性管理チームは、Predictive Prioritization 機能を活用することで、組織のビジネスニーズに合わせて脆弱性を評価できます。 

脆弱性管理の弱点を克服する

Tenable の依頼を受けて Ponemon Institute が実施した最新の調査レポート「事業運営におけるサイバーリスクの測定と管理」では、新たなセキュリティ対策の必要性が示されています。Ponemon Institute は、米国、英国、ドイツ、オーストラリア、メキシコ、日本の IT セキュリティ担当者2,410人に調査を行いました。 

回答者の半数 (51%) が、脆弱性への対応よりも手動による作業に時間を費やしており、大規模なバックアップが必要になっていると答えています。事実、回答者の48%が、手動による作業への依存によって、組織による脆弱性への対応が後手に回っていると答えています。

保護を最も必要とする資産の優先度付けに脅威インテリジェンスを組み込んでいると答えた回答者は、わずか39% でした。また、組織のアタックサーフェスに関して、十分なインサイトが得られている答えた回答者は、3分の1未満 (29%) でした。

Predictive Prioritization は、次のような問題を解決することを目的としています。 

• 手動プロセスへの依存を減らす
• リソースに制約のある CISO が最新の優れた脅威インテリジェンスにアクセスできるようにする 
• エンタープライズセキュリティが担う責任の増加に対応するために、アタックサーフェスの全体像を明確化

すべての脆弱性を重大と見なすことで生じる弊害 

脆弱性情報データベース (National Vulnerability Database, NVD) によれば、2018年に16,500件以上の脆弱性が公開されました。このうちの15% は、共通脆弱性評価システム (CVSS) スコアが「9」以上でした。

この手法では、重大度の低い脅威も顕著化させてしまいます。

「すべての問題が重大と見なされてしまうと、重大度の意味がなくなってしまいます」と、Millard はウェビナーで指摘しています。

Predictive Prioritization は、従来の CVSS 分析を改良し、特定の脆弱性の技術的精巧さを重視するのではなく、ソフトウェアの欠陥によってエンタープライズが抱えている実際のリスクを考慮した動的スコアを生成します。「私にとって、CVSS は履歴書のようなものです。その人物の主な特徴は把握できても、その真の個性とそれがどのように生かされているかを知ることはできません」と、Millard は CVSS の改善の必要性を訴えたカーネギーメロン大学の調査レポート「Toward Improving CVSS」を引用しながら説明しました。

2018年12月5月に公開された CVSS 調査に関するブログ記事の中で、カーネギーメロン大学研究所の職員である Deana Schick 氏は次のように述べています。「CVSS は、脆弱性の技術的な重大度を測定するために開発されたものですが、脆弱性の優先度付けとリスク評価の手段として誤って使用されています。採点アルゴリズムは妥当性に欠けており、コミュニティが意図された機能を理解するための透明性もありません。さらに、CVSS をリスクスコアとして誤用することで、CVSS から分かることを正しく把握することができなくなります。」

Tenable のウェビナーで、Millard は次のように説明しています。「CVSS は技術的側面が強く、脆弱性の基本的かつ一時的な環境指標に重点を置いているため、脆弱性によってもたらされるリスクの実態を把握することはできません。」 

Predictive Prioritization によって得られる「Vulnerability Priority Rating」は、Tenable の世界中のリソースから収集された最新情報に基づいて、毎日更新されます。簡単に言うと、Predictive Prioritization と Vulnerability Priority Rating により、直ちに修復が必要な脆弱性を約97% 減らすことができます。これにより、脆弱性管理チームは攻撃に悪用される可能性が最も高い、残り3%の脆弱性を明確に把握することができます。

もっと詳しく

• ブログを読む: 知っておくべき脆弱性管理のベストプラクティス
• ウェビナーを視聴する: 優先度付けにデータサイエンスを活用する