エクスポージャー管理の取り組みを始めるには

毎週月曜日、Tenable サイバーエクスポージャー管理アカデミーは、脆弱性管理からサイバーエクスポージャー管理への移行に必要な、実践的で現実的なガイダンスを提供しています。 この記事では、Tenable のサイバーエクスポージャー管理の取り組みを率いている当社シニアスタッフ情報セキュリティエンジニアの Arnie Cabral がその経緯についてご紹介します。 サイバーエクスポージャー管理アカデミーの全シリーズはこちらからお読みいただけます。  

私は Tenable の情報セキュリティエンジニアとして、Tenable のセキュリティインフラを従来の脆弱性管理から、より事前対策型のサイバーエクスポージャー管理アプローチに移行する企画に直接携わってきました。 最初のステップで必要だったのは、戦略の立案、ポリシーの再調整、リソースの割り当てでした。

当社の移行方針を決定付けたのは、脆弱性をただ特定するだけの状態から脱却しなければならないことで、セキュリティ態勢に重大なリスクをもたらす実際のエクスポージャーの管理に重点を置くことが必要でした。

出発点: 変革の必要性を認識する

千里の道も一歩からと言いますが、 Tenable の社内インフラにおけるサイバーエクスポージャー管理への移行は、ある単純な気づきから始まりました。 脆弱性管理は現代のサイバーセキュリティにとって重要ではあるものの、それだけではサイバーリスクの全体像を把握できないことが分かったのです。 

従来の脆弱性管理では、既知の脆弱性について資産をスキャンし、深刻度スコアに基づいて脆弱性を修正するのが一般的でした。 しかし、真のセキュリティリスク管理には、設定ミス、アタックサーフェスの可視化、リアルタイムの脅威インテリジェンスなどを含む、より広い視点が必要です。

サイバーエクスポージャー管理への移行を開始するにあたり、私たちは新しいアプローチに合わせて既存のポリシーを再構築しました。 いくつかは現行のポリシーから引き継いだものの、これは単なる編集作業ではありませんでした。 

その代わり、私たちは目標を再定義し、新たなリスクベースのサイバーエクスポージャー管理のフレームワークと整合するようにポリシーを変革したのです。

ポリシーフレームワークの確立

まず最初に、新しいサイバーエクスポージャー管理ポリシーの導入によって、単なる共通脆弱性識別子 (CVE) への対処を超えた、エクスポージャーの評価、優先順位付け、修正の方法のための明確なガイドラインをセキュリティチームが策定できるような基盤を築きました。

ポリシーを完成させるにあたり、新しいアプローチには以下を取り入れることが必要なことがわかりました。

• 共通脆弱性評価システム (CVSS) スコアを超えた、より広範な脆弱性のリスク評価
• 資産の重要度、攻撃経路、実際に悪用される可能性を考慮した、脆弱性の優先順位付けのフレームワーク
• 包括的な可視化によって、より実用的なアタックサーフェス管理を実現するための、複数のセキュリティツールの統合
• 資産と検出の範囲の拡大に合わせた、より幅広いステークホルダーとの連携

プロジェクト計画の策定

次に、ポリシーの策定と並行して、セキュリティエクスポージャー管理を運用するためのプロジェクト計画を立案しました。 この計画には以下が含まれていました。

• 既存のリスクベースの脆弱性管理プログラムの現状と、サイバーエクスポージャー管理プログラムのあるべき姿とのギャップの特定
• インプット (脆弱性とエクスポージャーのデータのソース) とアウトプット (修正の責任を負う担当部署) のマッピング
• 主要なマイルストーンと成果物の定義
• 責任の割り当てと、必要なリソースの見積もり

小規模な組織であれば、スプレッドシートのような一般的なツールでこのプロセスを管理できたかもしれません。 しかし、当社のような大企業では、通常はこのプロセスに Jira や Confluence のようなプラットフォームを使用しています。 もちろん、プロジェクトの構造やタイムラインを視覚的に理解できるガントチャートも計画の実行には不可欠でした。 

私のアドバイスは、不必要なプロセスオーバーヘッドを増やさずに目標を達成できるツールを使用することです。 たとえば、複数のベンダーによるサイロ化した複数のセキュリティツールのデータが統合できるプラットフォームを使用すれば、ネットワークや正確なリスクプロファイルを継続的かつ完全に可視化できます。 

運営上の課題の対処

この移行の主要な課題のひとつは、セキュリティ業務の複雑さでした。 従来の脆弱性管理は、大方 Nessus スキャナーとエージェントによる資産の脆弱性診断に頼っていました。しかし、サイバーエクスポージャー管理への移行にあたり、以下のような他の要素を取り入れる必要性が生じました。

• クラウド環境と一過性の資産
• さまざまな種類の資産 (SaaS、PaaS、IaaS、ハードウェアなど) にわたる設定管理、およびアイデンティティエクスポージャーのリスク
• アプリケーションセキュリティとソフトウェア開発ライフサイクル (SDLC) の脆弱性

サードパーティーによるセキュリティリスク

効率性を維持しながら、修正ワークフローがこの幅広い対象範囲に対処できるようにすることも必要でした。そこで、自動化とオーケストレーションについて議論することになり、基本的には、セキュリティチームに過度の負担をかけることなく、トリアージと対応のプロセスを一元化する方法を模索しました。

サイバーエクスポージャー管理プログラムの実装方法

サイバーエクスポージャー管理の取り組みに着手している、あるいはその開始を検討している組織の皆様に向けて、サイバーエクスポージャー管理のベストプラクティスと Tenable の経験から得た重要なポイントを以下にご紹介します。

• 従来の脆弱性管理をおろそかにしてはならない。継続的な脅威エクスポージャー管理によって対象範囲は広がるものの、これは基本的な脆弱性管理手法に取って代わるものではありません。 CVE に基づく修正は、依然として重要な要素です。
• まずポリシーとガバナンスから開始する。 明確なサイバーエクスポージャー管理のポリシーを確立することで、枠組みを作り、サービスレベルアグリーメント (SLA) を設定して確実な責任体制を提供します。
• チームの足並みを揃える。 チームとリソースを組織化し、すべてのメンバーがサイバーエクスポージャー管理のポリシーに従って業務を遂行できるようにします。
• 実際のリスクに基づいて優先順位を付ける。 すべての脆弱性が直ちに脅威となるわけではありません。 攻撃の実行可能性に基づいて、実際のリスクをもたらす脅威のエクスポージャーに焦点を当てます。
• 規模に合わせてワークフローを最適化する。 サイバーエクスポージャー管理を使うとセキュリティ問題の件数が増えるので、自動化とオーケストレーションは不可欠です。
• 継続的な進化を前提とする。 サイバーエクスポージャー管理は 1 回限りのプロジェクトではなく、新たな脅威の検出やビジネスの変化に順応する継続的なプログラムです。

キーポイント

脆弱性管理からサイバーエクスポージャー管理への移行は、サイバーセキュリティ戦略において必要な進化です。 

アタックサーフェスが拡大し、脅威がより巧妙になる中で、サイバーリスクの削減に向けてより総合的なアプローチを採用する必要があります。 その道のりは複雑であり、多数のリソースが必要ですが、可視性の向上、リスクの優先順位付けの改善、セキュリティ成果の向上といったメリットを考えると、十分な投資価値があります。 今後の可能性に胸を躍らせつつ、Tenable の取り組みについて今後も発信していくことを楽しみにしています。