Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

ストップ・ザ・プレス:脆弱性管理の優先度基準としてのメディア報道

Tenableは、脆弱性に関する主要メディアの報道が、企業の脆弱性管理方法をどのように変えたのか知るために、 調査を行いました。当社が学んだことをご紹介します。

技術分野において、脆弱性は常に話題を集めてきました。脆弱性に関するニュースは最近ますます増えています。企業リーダーが読む書物でも定期的に取り上げられており、もしそうでもなければ、彼らは脆弱性管理の核心に関与することもないでしょう。 

2018年はメディアにとって脆弱性ラッシュとも言える重要な年でした。1月のMeltdownとSpectreから始まり、報道は途切れることがないように感じました。これを目の当たりにした当社は、この報道により企業は脆弱性管理方法を変えたのかどうか、また変えたのであれば、どのように変えたのかと疑問を持つようになりました。そこで、彼らに尋ねました。CISOやセキュリティアナリストとのインタビューを通じて、ニュースで取り上げられた脆弱性に対する彼らの経験を掘り下げました。

「脆弱性に関するニュース報道はあなたの仕事に影響を与えましたか?もしそうなら、どのように影響しましたか?」と尋ねました。 

ほとんどの人は、脆弱性に関するのニュース報道のせいで通常業務にある程度の中断を経験していました。最も多い2つの例は投機的実行の脆弱性で、Meltdown、Spectre、そしてStruts2でした。 詳細なレポート「見出しを飾る脆弱性:メディア報道がいかにリスク認識を形成するか」では、これらのインシデントへの対応から生まれた戦略、方針、および課題の詳細を取り上げています。 当社の重要な発見は、 

  • 注目を集める脆弱性は、セキュリティチームにとっての懸念事項というだけではない。技術的に重要であるかどうかにかかわらず、これらの脆弱性は深刻な評判のリスクを引き起こす可能性があり、顧客、パートナー、規制当局およびその他の主要な関係者との取引関係管理を必要とします。
  • メディア報道は、特に特定の企業においては、脆弱性の真の重要度を判断するための客観的な指標とはならない。メディアの役割は、リスク分析を行うのではなく、ストーリーを調査して報告することです。彼らは興味深いけれども必ずしも緊急ではない脆弱性について報告するでしょう。
  • ただし、メディアによる報道は依然として全体的なリスク評価に影響を与える可能性がある。セキュリティチームは、メディアによる報道は技術的リスクの理想的な尺度ではないことを認識していますが、リスク評価プロセスについては他のユーザーと話し合う必要があります。また、深刻度の低い脆弱性によってもたらされる全体的なリスクには、対策が必要となる可能性があることも認識する必要があります。
  • セキュリティチームの役割の一部は、認識されているリスクを管理し、主要な利害関係者(特に上級意思決定者)に助言し、マスコミの報道ではなくコンテキスト化に基づいて脆弱性に対する適切な対応を可能にすることです。CISO は脆弱性データを適切なコンテキストで準備し、組織の Cyber Exposure を事業リーダー達に適切に伝え、リスクを減らすために適切にリソースに投資する必要があります。

その一方で、レポートには網羅されていない別の角度があり、私はそれについて取り上げたいと思います。つまり、脆弱性管理方法に影響を与えるのは、ビジネス誌の記事だけではないということです。セキュリティチームは経営陣に比べて、脆弱性に対してはるかに多くのチャンネルを追跡しています。セキュリティチームはビジネス誌の記事を脆弱性情報の唯一のソースとして利用しているわけではありませんが、このような記事は優先付けの基準(他と組み合わせて)として利用できる可能性があります。脆弱性にまつわるメディアの状況のこの側面を検討してみましょう。 

脆弱性にまつわるメディアの状況

 「見出しを飾る脆弱性」レポートは主に、組織が主要メディアの報道(ニューヨークタイムズやテレビニュースで取り上げられるストーリー)にどのように対応しているかに焦点を当てていますが、脆弱性にまつわるメディアの状況は、これらのストーリーに留まらない遥かに多くのものを網羅しています。 経営陣や役員会が脆弱性に気づくと、実行圧力が最も高まり、セキュリティチームはしばしばメディアの報道を重要度の基準として利用します。メディアの報道は通常、脆弱性の優先度を押し上げますが、攻撃が確認された場合には特にその優先度が増します。実際、Atlassianは3月20日にConfluence Serverの脆弱性に関するアドバイザリーを公開しました。これには、CVE-2019-3396の修復プログラムも含まれていました。 しかし、メディアがこれについて取り上げたのは、概念実証 (PoC) コードとこの脆弱性の悪用が公になってからのことでした。これによって脆弱性が優先事項となったわけではありませんが、メディア報道は確かに優先付けの付加的なデータポイントとして機能しています。

Tenableのセキュリティ対応チーム (SRT) は、ニュース(およびその他のソース)で取り上げられた脆弱性を追跡しています。2019年が始まってから、開示された特筆すべきほぼ全ての脆弱性がメディアにより取り上げられています。 これにより、セキュリティチームに膨大な「ノイズ」が生じています。メディアの状況は常に変化するため、メディアの報道は基準としてあまり役には立ちません。 

メディアの状況変化について、SRTのリサーチエンジニアである Ryan Seguin は次の様に語っています。「過去 5 年にわたり、業界は最悪の状態でした。脆弱性に関するのメディア報道の最初の大きな影響は2014年の「Heartbleed」で、二度目はTwitterが研究者同士のコミュニケーションのデファクトスタンダードになったことです。Heartbleedは覚えやすい名前を付けられた最初の脆弱性ではありませんが、私の経験では、これに関連する出版物が脆弱性研究にある種のゴールドラッシュをもたらしました。2014年以降、研究者は優れた記事や注目に値するウェブページのテーマとして取り上げるに足りる完璧な脆弱性の次の発見者になろうとますますやっきになっています。世界に名を広めて信頼を構築するということに加えて、バグ報奨金プログラム自体もより儲かる、より組織化されたものになりました。」研究者が注目を集めるために自らの業績をアピールする方法がこのように変化したことで、メディアは私達が今目にしている膨大な数の煩わしいニュースを提供するようになったのです。

レポートで検討した脆弱性および戦略は、過去数年間サイバーセキュリティにおいて役員会の関心が続いてきたテーマと一致しています。セキュリティチームは、経営幹部からの高まる関心にただ反応するだけでなく、どのように生かしてきたのでしょうか。特に2018年は、その関心が脆弱性管理に向けられました。 この関心がビジネス誌またはBleeping Computerのような技術誌により引き起こされたにしても、セキュリティチームは主要な当事者が最適の決定を下せるように、脆弱性がもたらすリスクを分かりやすく説明する必要があります。

エキスパートパネル:見出しを飾る脆弱性レポート (Edge 2019)

2019年6月4日更新: アトランタで5月21-23日に開催された Edge 2019 ユーザーカンファレンス(Tenable主催)の「エキスパートパネル」セッションにて、レポート内容に関する議論を行いました。The Security Ledger発行人兼編集長Paul Roberts氏にモデレーターを務めていただき、以下の方々にご参加いただきました。Kevin Kerr氏(Oak Ridge National Laboratory, CISO)、Greg Kyrytschenko氏(Gurdian, セキュリティサービス部長)、Ramin Lamei(Global Payments, シニアディレクター兼情報セキュリティ部長)、および Claire Tills(Tenable, リサーチアナリスト)。以下よりフルセッションをご覧ください。

詳細情報:

Tenableブログを購読する

購読する
無料でお試し 今すぐ購入

Tenable.ioを試す

60 日間無料

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 今すぐサインアップしてください。

Tenable.ioを購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 年間サブスクリプションをご購入ください。

65 資産

$2,275.00

今すぐ購入

無料でお試し 今すぐ購入

Nessus Professionalを無料で試す

7日間無料

Nessus®は、最も包括的な脆弱性スキャナです。Nessus Professionalは脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様がITチームに専念できるようにサポートします。

Nessus Professionalを購入する

Nessus®は、最も包括的な脆弱性スキャナです。Nessus Professionalは脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様がITチームに専念できるようにサポートします。

複数年ライセンスを購入して節約しましょう

無料でお試し 今すぐ購入

Tenable.io Web Application Scanningを試す

60 日間無料

Tenable.ioプラットフォームの一部として最新のアプリケーション用に設計された、最新のWebアプリケーションのスキャンサービスの全機能にアクセス可能です。手作業による労力や重大なWebアプリケーションの中断なしに、脆弱性のオンラインポートフォリオを安全に高精度でスキャンします。 今すぐサインアップしてください。

Tenable.io Web Application Scanningを購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 年間サブスクリプションをご購入ください。

5 FQDNs

$3,578.00

今すぐ購入

無料でお試しください セールスにご連絡ください

Tenable.io Container Securityを試す

60 日間無料

脆弱性管理プラットフォームに統合された唯一のコンテナセキュリティ製品の全機能にアクセス可能です。コンテナイメージの脆弱性、マルウェア、ポリシー違反を監視継続的インテグレーション/継続的デリバリー(CI / CD)システムと統合し、DevOpsプラクティス、セキュリティ強化、および企業のポリシーコンプライアンスをサポート

Tenable.io Container Securityを購入する

Tenable.ioのContainer Securityは、ビルドプロセスと統合することにより、コンテナイメージのセキュリティ(脆弱性、マルウェア、ポリシー違反など)を可視化し、シームレスかつ安全なDevOpsプロセスを実現します。

Industrial Securityについてもっと知る

Tenable.scのデモを入手する

以下のフォームに連絡先をご記入ください。営業担当者からデモのスケジュールについてご連絡いたします。短いコメントもご記入いただけます(255文字まで)。アスタリスク(*)マークの付いた欄は必須です。