脆弱性管理の原則

1. 脆弱性管理の概要

---

脆弱性管理とは?

脆弱性管理は、ネットワークの保護と運用における安全性を保つため、組織全体のサイバーリスクを特定し、運用の目標と目的に合わせて優先順位を付け、タイムリーに脆弱性の修正を行う、テクノロジーとツールの継続的なプログラムです。

脆弱性管理は、共通の目標に向かって連携する人材、ポリシー、プロセスで構成されており、それによりアタックサーフェスとサイバーリスクを可能な限り小さくします。

アタックサーフェス全体の脆弱性の修正は大変な作業です。 実際のところ、ほとんどの組織において、管理する資産の数が増加し続けており、そのペースは数百にも及ぶ潜在的な攻撃手法より早いのです。したがって、セキュリティチームでそれらすべてに対してパッチを適用したり緩和したりすることが難しくなっています。

ほとんどの組織では、従来の IT からクラウド、モバイル、コンテナやサーバーレス、ウェブアプリケーションやオペレーショナルテクノロジー (OT) の資産に至るまで、組織全体のすべての資産の詳しい情報を得るための適切なツールを持っていないことから、状況はさらに困難です。

現実世界の問題に加えて、多くの資産には複数の脆弱性やその他のセキュリティ問題が存在します。そのため、気が付けばセキュリティチームは山ほどの脆弱性に埋もれてしまっています。

脆弱性の数が多く、必要となる修正機能が異なるほど、攻撃者がアタックサーフェスを悪用するおそれは高くなります。

ここで、脆弱性管理が役立ちます。

脆弱性管理の具体的な内容は?

効果的な脆弱性管理には、5 つの中核となるステップがあります。 これらの手順は、サイバーセキュリティのライフサイクルに沿っています。

ステップ 1: 検出

コンピューティング環境全体のすべての資産を特定してマッピングする

ステップ 2: 管理

脆弱性、設定ミス、その他のセキュリティの健全性指標を含む、すべての資産のエクスポージャーを把握する

ステップ 3: 優先順位づけ

エクスポージャーの状況を把握し、資産の重大度、脆弱性の深刻度、脅威の状況に基づいて修正の優先順位付けを行えるようにする

ステップ 4: 修正

エクスポージャーの修正の優先順位付けを行い、適切な修正プロセスを使用する

ステップ 5: 測定

エクスポージャーの測定とベンチマークテストを実行し、チームがビジネスとテクノロジーに関してより適切な意思決定を行えるようにする

脆弱性管理と脆弱性評価の違い

脆弱性管理と脆弱性評価は異なるものですが、どちらも補完的な手法です。

脆弱性管理は、アタックサーフェス全体におけるすべての資産と脆弱性の特定に役立ちます。また、問題を軽減し、優先順位を付けて弱点を修正し、全体的なセキュリティ態勢を改善する方法を計画する際にも役立ちます。

一方、脆弱性評価は、すべての資産と脆弱性を特定するために定期的に実施される、1 回限りのプロジェクトです。

一般的に、脆弱性評価は、脆弱性スキャンとは異なり、開始日と終了日が指定されています。 これは、ある特定の時点におけるアタックサーフェスのスナップショットです。

脆弱性評価は脆弱性管理プログラム全体の一部であり、サイバーリスクの継続的な特定と対応に役立ちます。

脆弱性管理とリスクベースの脆弱性管理との違い

従来の脆弱性管理手法 (レガシー脆弱性管理とも呼ばれます) では、脆弱性とリスクを理論的に把握し、環境内に脆弱性を発生させるおそれのある脅威を明らかにできますが、どの脅威が実際のリスクを引き起こすのかについてはわかりません。

実際のリスクについての明確な詳細情報を得られないと、セキュリティチームは実際にはリスクではない脆弱性の修正に追われて身動きできなくなり、企業に影響を与える可能性の高い深刻な脆弱性の検出と修正を見落とす可能性があります。

脆弱性管理のプラクティスにリスクベースのアプローチを加えると、脅威に関する詳細情報が把握でき、リスクをより詳しく理解できるようになるため、アタックサーフェス全体のすべての弱点が企業に与える潜在的影響について洞察を得られます。

2. 最初に修復する

---

資産とは何ですか？

資産とは、IT 環境内に存在するハードウェアとソフトウェアのことです。 これには、サーバー、ネットワーク、デスクトップコンピューターなど、従来の IT 資産だけでなく、スマートフォン、タブレット、ノートパソコン、仮想マシン、サービスとしてのソフトウェア (SaaS)、クラウドホストのテクノロジーやサービス、ウェブアプリケーション、IoT デバイスなども含まれます。

継続的な資産の検出、評価、管理は、脆弱性管理プログラム全体の重要な構成要素です。

アタックサーフェスとは何ですか?

DX 時代の IT のアタックサーフェスは、企業内にある攻撃者が潜在的に悪用しうる複数の危険にさらされているポイント (IT 資産) で構成されています。これらのエクスプロイトは多くの場合、侵害につながります。過去のアタックサーフェスはサーバーやネットワークなどの従来の IT 資産から構成されていましたが、今日のアタックサーフェスは膨大で、さらに拡大し続けています。 現在のアタックサーフェスには、スマートフォンなどのモバイルデバイス、デスクトップやノートパソコン、仮想マシン、クラウドインフラ、ウェブアプリケーション、コンテナ、IoT デバイスも含まれています。

多くの企業にとって、企業のすべての資産の可視性を維持することは困難です。 また、ほとんどの脆弱性評価プログラムは膨大な量の脆弱性を検出するので、そのすべての軽減と修正を行う必要があることも、状況を複雑化しています。

そのため、堅牢で拡張性の高い脆弱性管理プログラムを構築し、すべての資産と脆弱性を継続的に検出して評価し、サイバーリスクを低減することが重要です。

脆弱性管理プログラムの一環としてアタックサーフェスを評価する際に役立つヒントをご覧ください。

1. 資産の種類に関係なく、すべての資産を識別する
2. 各資産の場所を明らかにする
3. 各資産の管理者とアクセス権を持つユーザーを決める
4. 資産の種類 (クラウド、モバイル、従来の IT、IoT など) を示す。
5. ビジネスの運営にとって重大な資産かどうかを判断し、適切に優先順位を付ける。
6. 重大な資産ごとに、脆弱性による影響を評価する

セキュリティ上の脆弱性とは何ですか?

セキュリティの脆弱性とは、攻撃者がシステム侵害に悪用できるハードウェアまたはソフトウェアの弱点のことです。 よりわかりやすい言葉で言うと、これらは「バグ」、またはプログラミングのミスです。

脆弱性の中には、パッチ (基本的にコード内の問題を修復する) の適用で修正できるものもあります。 システムが複雑になるほどコードの行数が多くなるため、コード内にプログラミングのミスが発生する可能性が高くなります。

また、システムの設定ミスも脆弱性となり、攻撃の危険性がさらに高まります。 こうした脆弱性は多くの場合、設定ミスの問題を修復することによって修正できます。

以下は、攻撃者がセキュリティの脆弱性と弱点を標的とするその他の手口です。

• 設定ミスやパッチが適用されていないシステムを突いた攻撃
• フィッシング: 実在する組織を装って偽の E メールを送信し、ユーザーをだまして機密情報を開示させる手法
• 認証情報の窃取: データ侵害によって収集したユーザー名とパスワードを悪用して、他のサイトへのアクセスを試みる手法
• マルウェア: 悪意あるソフトウェアによってシステムへのアクセスを許可させる手法
• サービス拒否 (DoS) 攻撃と分散型サービス拒否 (DDoS) 攻撃: 帯域幅を使い果たすフラッド攻撃を行うことで、システムがサービス要求に応答できないようにする手法
• クロスサイトスクリプティング (XSS): ウェブサイト上に悪意あるコードを埋め込んで、訪問者を標的にする手法
• 中間者 (MITM) 攻撃: 保護されていないネットワーク (パブリック WiFi など) を通じてユーザーを侵害する手法
• SQL (Structured Query Language) インジェクション: サーバー上で悪意あるコードによって SQL を悪用し、他の方法ではアクセスできない機密情報にアクセスする手法
• ゼロデイエクスプロイト: 脅威の公表後、パッチや修正がリリースされる前にシステムを悪用する手法

3. 脆弱性スキャン

---

脆弱性スキャナーとは

脆弱性スキャナーは、アタックサーフェス全体の脆弱性を検出するための自動ツールです。

脆弱性スキャンには、主に 2 つのタイプがあります。

• 認証スキャン: ログイン認証情報を使用して、資産、システム、ネットワーク内のセキュリティの問題に関する詳細情報を検出するスキャン
• 非認証スキャン: 認証情報を必要としない、ホスト上のオープンポート、プロトコル、公開サービスを対象とするスキャン

また、次のスキャンを選択することも可能です。

• 社内の脆弱性スキャン: 攻撃者が企業のネットワークを探索する方法があるか検出するために、企業の内部で実施されるスキャン
• 外部の脆弱性スキャン: 脆弱性を検出するために、企業の外部で実施されるスキャン

定期的な脆弱性スキャンは、脆弱性管理プログラムの重要な構成要素です。さらに、継続的な脆弱性スキャンを併用することによってサイバーリスクをさらに低減できます。

アクティブスキャナー

アクティブな脆弱性スキャンにより、特定のポイントインタイムでのネットワークと資産の状況を詳細に把握できます。アタックサーフェス内のシステムの設定ミス、脆弱性、その他のセキュリティの問題を特定することが可能です。

アクティブスキャンによってネットワークトラフィックが生成され、ネットワーク上のデバイスとの対話が行われます。 リモートターゲットにパケットが送信され、その時点におけるネットワークのスナップショットが作成されます。

アクティブなサービスやアプリケーションをプラグインデータベースと比較することにより、脆弱性の有無が確認されます。

以下で説明するパッシブスキャンとは異なり、アクティブスキャンでは、開いているポート、インストールされているソフトウェア、セキュリティ設定設定、既知のマルウェアといったさらなる情報が得られます。

アクティブスキャンには、次のような種類もあります。

• 非認証スキャン
• 認証スキャン
• エージェントベースのスキャン

アクティブスキャンは、融合された IT/OT 環境で動作する IT デバイスに最適です。 これにより、システム内にインストールされているアプリケーション、ライブラリ、サービスの脆弱性、ユーザー、グループ、インストールされているソフトウェアに関する詳細といった、ネットワーク上の資産に関する洞察が得られます。

アクティブスキャンは、設定評価にも役立ちます。また、重要なシステムやアプリケーションのデフォルト設定のまま使用されているユーザー名とパスワードを見つけることができます。 マルウェアの検出にも有効で、バックドアや不正なファイルハッシュを発見できます。

アクティブスキャンは Tenable Vulnerability Management に統合されています。

Tenable では、以下をはじめとするさまざまなアクティブスキャンオプションを選択できます。

• オンデマンド: ユーザーが手動で起動します。
• スケジュールされたスキャン: 設定されたスケジュールに基づいて、毎日、毎週、または毎月自動的に起動します。
• 依存スキャン: スケジュールされた親スキャンが完了すると起動します。依存スキャンでは、他の依存スキャンとのデイジーチェーン接続が可能です。

アクティブスキャンは、脆弱性管理プログラム全体の重要な構成要素ですが、ある特定の時点におけるアタックサーフェスの状況を捉えることしかできません。タブレット、スマートフォン、ノートパソコンなど、ネットワークに常駐していないデバイスは含まれません。

アクティブスキャンには、中断が発生する可能性があるという別の問題もあります。

アクティブスキャンは脆弱性を特定するのに役立ちますが、スキャンすると機能が停止する可能性のある資産に対してはアクティブスキャンを実行しないようにしてください。このような資産には、企業のインフラに不可欠なシステム、医療機器、産業用システムなどが含まれます (これらに限定されるものではありません)。

認証スキャン

認証スキャン (クレデンシャルスキャン) は、デバイスにリモートでログインしてデバイスを内側から調べることができます。 このスキャン方法を使用すると、デバイスを内側から調べることができます。 認証スキャンでは、構成設定に関する追加情報や、ソフトウェアが既知のマルウェアに感染しているかどうかに関する情報を収集できます。

認証スキャンを実行する際は、資産にソフトウェアをインストールする必要はありません。しかし、スキャンによってネットワークの帯域幅や処理機能が使用されることがあるため、中断が発生する可能性があります。

認証スキャンは、上位層にある IT システムや OT 環境に適しています。 多くの場合、このスキャンは非認証スキャンと併用されます。これにより、内側からと外側からの両方の情報を得られます。

エージェント

エージェントスキャンは、より詳細な情報を提供し、内側から外側へのアプローチでデバイスを調査します。 このスキャンは通常、制御環境システムで行われ、デバイスやサーバーにインストールすることで機能します。 エージェントスキャンは、ネットワークに頻繁に接続されていない (またはまったく接続されていない) デバイスに適しています。

エージェントスキャンでは、デバイス上のマルウェアを検出し、設定ミスを探して、脆弱性を発見します。

エージェントは通常、インストールが簡単で、通常は侵入的ではありませんが、エージェントのスキャン、特にリソースに関連する欠点があります。エージェントはデバイス上にインストールされるため、ディスクやメモリの電力、帯域幅、容量を消費します。 また、デバイス上にインストールする場合、特に OT 環境では、インストール先のデバイスを選定したうえで、必ずそのエージェントを慎重に分析してテストしてから実行する必要があります。

イメージレジストリ

イメージレジストリは、ソフトウェアがライフサイクルのビルドまたは開発段階にあるときに使用できるセキュリティプロセスです。 イメージレジストリを作成すると、パブリッククラウドのインスタンスやコンテナを含む資産のイメージを保持してスキャンできます。 イメージレジストリの利点は、新しいソフトウェアを導入する前に潜在的なセキュリティ問題を発見できることです。オープンソースソフトウェアまたはコンポーネントにイメージレジストリを使用することもできます。

4.ネットワーク監視ツール

---

ネットワークモニターとは何ですか? 脆弱性の管理にどう役立ちますか?

ネットワーク脆弱性モニターは、ネットワーク、サーバー、オペレーティングシステム、アプリケーションなどの従来の IT インフラ内の脆弱性、設定ミス、その他のセキュリティ問題を検出するのに役立ちます。

ウェブアプリケーションスキャナーはモニターと似ていますが、ウェブアプリケーションに焦点を置いているという点で異なります。 ウェブアプリケーションスキャナーは、サードパーティのアプリケーションだけでなく、社内アプリケーションのテストにも使用できます。

ネットワークのパッシブモニタリング

資産がネットワークに接続されたら、その資産が認証済みであるかどうかを迅速に判断し、認証されていない場合は対応する必要があります。

パッシブネットワーク監視により、チームはネットワークで使用されているアプリケーション、オペレーティングシステム、ネットワークに接続しているユーザー、データの転送元と転送先、アクティブなホスト、新規ホストがアクティブになったタイミング、アクティブなポートやサービス、資産間の接続について洞察を得られます。

パッシブネットワーク監視では、ディープパケットインスペクションを使用してネットワークトラフィックを分析します。 コンバージド IT/OT 環境で動作する IT/OT デバイスに最適であり、アクティブなネットワーク資産や脆弱性だけでなく、インストール済みのアクティブなアプリケーションやサービスの検出と特定にも使用できます。

パッシブネットワーク監視は、サイバーセキュリティ全体の健全性を維持するための重要な要素です。 アクティブスキャンはビジネスを中断させる可能性があるため、有効な選択肢にならず、使用できない場合があります。アクティブスキャンやエージェント監視のみに頼るのではなくパッシブスキャンもあわせて使用すると、アタックサーフェス全体の状況を常に把握できるようになり、可視性が向上します。

パッシブネットワーク監視の優れた点の 1 つは、ほぼリアルタイムで資産を検出できることです。つまり、定期的なアクティブスキャンのみを使用した場合に生じる盲点を排除できます。

パッシブネットワークスキャンは、アクティブスキャンで中断される可能性のある産業用制御システム (ICS) や SCADA (Supervisory Control and Data Acquisition Systems) の脆弱性を検出する場合にも最適です。

Nessus Network Monitor

Tenable の Nessus Network Monitor (NNM) を使用することにより、ネットワークトラフィックをパッシブに分析して盲点を排除し、アタックサーフェス全体の完全な可視化を実現できます。 NNM では、安全かつ非侵入的な方法で機密性の高いシステムの検出と監視を実施できます。

Nessus Network Monitor は、Tenable Vulnerability Management および Tenable Security Center のセンサーとして含まれています。

Network Monitor を使用する利点は次のとおりです。

• 非侵入型の継続的なネットワーク監視と評価
• ネットワークトラフィックをパケットレベルで監視し、サーバー側とクライアント側の脆弱性を可視化
• 仮想システムやクラウドサービスを含むあらゆるデバイスの将来的な資産の検出と脆弱性監視に対応できるスケーラビリティ
• インフラと脆弱性の自動評価
• 通信システム (プロトコルとアプリケーションを含む) の脆弱性検出
• アプリケーション侵害の特定
• OT デバイスとアプリケーション、サーバー、エンドポイント、ウェブアプリケーション、ネットワークデバイス、仮想デバイスとクラウドベースのデバイス、BYOD デバイスとモバイルデバイス、ジェイルブレイクした iOS デバイスなど、あらゆるデバイスの包括的な資産検出

自社に適したパッシブネットワーク監視ツールとは?

以下は企業に最適なパッシブネットワーク監視ツールを評価する際のヒントでます。 パッシブ監視には次の機能が必要です。

• ネットワークトラフィックを完全に可視化
• センサーは、物理的な TAP ポートまたは SPAN ポートに接続できる必要があります。 クラウド環境や仮想インフラ内などの仮想トラフィックに対して使用する場合、パッシブネットワーク監視は適切に設定された仮想マシン上で実行できる必要があります。
• TCP と UDP の共通プロトコルに対応
• システムが使用する可能性のあるすべてのプロトコル (SCTP、ICMP、IPIP、IDP、OT—BACnet、CIP、DNP3、Ethernet/IP、ICCP、IEC 60870-5-104、IEC 61850、IEEE C37.118、Modbus/TCP、OPC、PROFINET、Siemens S7) に対応
• プロトコルを使用するアタックサーフェス全体のすべての資産を認識
• 資産に影響するすべての既知の脆弱性を特定
• 新しい資産を検出したときに SIEM (セキュリティ情報イベント管理) ソリューションにアラートを送信する機能を搭載。

Tenable Nessus は、パッシブネットワーク監視ツールです。これは、監視センサーであり、すべてのアクティブなネットワーク資産の継続的な検出を可能にして脆弱性評価を支援します。 Nessus Network Monitor は Tenable Vulnerability Management にも統合されています。

5.パッチ管理

---

パッチ管理とは何ですか?

パッチ管理とは、企業全体でシステムやソフトウェアを更新するために使用するプロセスです。 パッチは脆弱性管理の重要な構成要素であり、企業のリスクを軽減するための効果的な手段です。

アタックサーフェス内のシステムとアプリケーションの量が多く、ベンダーが常に新しいパッチをリリースしている状況だと、どのパッチを最初に実行する必要があり、その後、残りのパッチにどのように優先順位を付けるかを判断するのに苦労する場合があります。

パッチ適用の優先順位付けは、脆弱性に関連付けられたリスク評価と直接関係します。 評価システムによって影響度が「高」または「深刻」と評価された脆弱性から始め、影響度が高いものから低いものに向かって順番に進めます。

資産検出と同様、脆弱性管理プラットフォームを使用せずにパッチ適用について包括的に把握することは困難です。 ここでも、Tenable が役立ちます。

たとえば、Tenable Vulnerability Management ダッシュボードでは、資産に必要なパッチを表示できます。Tenable の Vulnerability Priority Rating (VPR) を活用することで、企業にとって最も重要なパッチと注力すべき箇所が明確になります。

パッチ一覧をフィルタリングして、詳細を確認することもできます。 たとえば、過去 90 日間に公開されたパッチの数を把握する必要がある場合、ビューをフィルタリングすることで、条件に当てはまるすべてのパッチを見ることができ、企業にとって最も重要なパッチも表示できます。

パッチによっては企業に問題を引き起こすものもあるため、アクティブな環境に導入する前に、パッチの事前テストを実行することをお勧めします。 テストすることで、実際の運用に悪影響を与えることなく矛盾点や問題の有無を確認できます。

使用しているパッチ管理システムは効果的ですか?

パッチ管理システムの有効性を評価する際に役立つ質問の一部を紹介します。

チームはすべてのセキュリティパッチを適用していますか?

チームがすべてのセキュリティパッチを適用する必要があるかどうかは、企業によって異なります。パッチ適用のポリシーの導入は、企業の判断に基づきます。 導入する場合、Nessus と Tenable Security Center は、パッチシステムが機能するかどうかを判断するのに役立ちます。一部のセキュリティパッチが未適用でも許容される場合は、外部監査を行ってパッチ適用プロセスで対処されていないセキュリティリスクを検出することをお勧めします。

パッチを適用するまでにかかる時間はどのくらいですか?

また、パッチ適用までの猶予期間についてのポリシーを作成することも推奨されます。 Nessus と Tenable Security Center を使用すると、ポリシー内の矛盾をテストし、進捗状況をレポートできます。

パッチ管理プログラムに新規のホストは含まれていますか?

パッチ管理プロセスには、新規のホストを含める必要があります。 インフラにサーバーまたはデスクトップを追加すると、Tenable Security Center を使用して、それらのデバイスのパッチサイクルを監視できます。

パッチ管理プログラムに組み込みのデバイスは含まれていますか?

セキュリティの問題は、スイッチ、ファイヤーウォール、ルーター、プリンターなどの組み込みデバイスにも存在します。 Nessus と Tenable Security Center を使用すると、組み込みデバイスのパッチの問題を見つけることができます。

パッチ管理の有効性についての詳細は、「パッチ管理システムの有効性テスト」をご覧ください。

一部のパッチが失敗するのはなぜですか?

パッチ管理システムが効率的であっても、パッチ適用に失敗する場合があります。 その理由について、いくつか例を紹介します。

• UNIX サーバーや Windows サーバーのようなデバイスでは、セキュリティが非常に厳しい場合があります。 リモートユーザーアカウントやローカルユーザーエージェントのパッチのプッシュ権限が設定で無効化されている場合があります。
• サーバーのネットワーク設定が古い場合 (たとえば、古い DNS サーバーや、アクティブに見えるが実際には古いローカルルーターがある場合) はネットワークアクセスが制限されるため、パッチが失敗する可能性があります。
• ファイヤーウォールルールがシステムに影響を与えて、パッチの失敗を引き起こす可能性があります。
• 考慮されていないパッチの依存関係が存在する可能性があります。
• ドライブやパーティションの容量が限られている場合、パッチが失敗する可能性があります。 これは、自己解凍型パッチの場合にも当てはまります。
• 帯域幅が制限されていると、パッチの配布とインストールが妨げられる可能性があります。

パッチ管理と失敗するポイントについての詳細は、 こちらのブログをご覧ください。

6. 脆弱性管理ソリューション

---

脆弱性管理はなぜ必要なのですか?

何百もの潜在的な攻撃手法や無数の資産が存在し、作業環境 (人材、場所、テクノロジーなど) が刻々と変化することを考えると、セキュリティチームはすべての脆弱性にパッチを適用して修正することはできません。しかし、攻撃者はこれらの弱点に侵入する方法を継続的に探しています。

現在、米国国立標準技術研究所 (NIST) の National Vulnerability Database (NVD) には、223,929 件を超える一般的な脆弱性およびエクスポージャー (CVE) が存在します。2023 年の最初の 8 か月間で、NIST はすでに 19,352 件以上の分析を完了しています。

これらの脆弱性のうち、実際に悪用されるものはほとんどありませんが、そうした脆弱性は常に攻撃の対象となります。

また、この結果では「高」や「深刻」と評価される脆弱性に焦点が置かれていますが、攻撃者が注視するのはスコアではなく、ネットワークへの侵入が最も簡単な方法です。

侵入されうる機会が増えるにつれ、脆弱性管理の価値を理解し、ベスト プラクティスを検討し、ネットワークを保護するために今すぐ実践できる戦術を採用することが、かつてないほど重要になっています。

だからこそ、リスクの優先順位付けと緩和効率の向上に重点を置いた脆弱性管理プログラムを導入することが重要なのです。

適切な脆弱性管理ソリューションを選択する方法

脆弱性管理ソリューションの選定に際しては、企業ごとに異なるニーズが存在します。しかし、すべての業界に共通な中核となる考慮事項がいくつかあります。

以下は、現在と将来のニーズに対応できる脆弱性管理ベンダーを評価する際に検討すべき、6 つの項目です。

1. 資産の継続的な検出

脆弱性管理ソリューションには、継続的な資産検出やアタックサーフェスの完全な可視化など、幅広いカバレッジが必要です。

以下の機能を備えたソリューションをご検討ください。

• ネットワークスキャナー
• ノートパソコンやモバイルデバイスなど、頻繁にオフネットワークになるエンドポイントのためのエージェント
• 資産や脆弱性を継続的に検出するパッシブネットワーク監視
• クラウドコネクタと、クラウドインスタンスの監視と評価を行う事前認証されたクラウドスキャナー
• 導入前の静的コンテナイメージのイメージスキャナー
• ウェブアプリケーションスキャナー
• クラウド、CMDB、CI/CD、チケッティングや SOAR などのテクノロジーとの統合

2. 静的スキャンだけではない評価機能

資産を評価するには、スキャンの実行だけでは不十分です。 脆弱性管理ソリューションには、セキュリティの問題を特定するためのデータの収集と評価の機能が必要です。

以下の機能を備えたソリューションをご検討ください。

• 導入前のコンテナ評価と開発者ワークフローとの統合
• API ベースの可視性を備えたクラウドワークロードの評価ニーズへの対応
• システムの性能と可用性に影響を与えない IT デバイスと OT デバイスのパッシブ検出

3. 高度な優先順位付け

脆弱性管理ソリューションは、機械学習を活用することで、チームが脆弱性データを形成できるようにする必要があります。これにより、盲点や隠れたパターンを検出できるようになり、企業のリスクに対する理解が深まります。

以下の機能を備えたソリューションをご検討ください。

• 脆弱性を優先度付け
• 優先順位付けのためのデータ入力
• 研究とデータ専門のチーム
• 拡張可能な自動資産評価

4. 自動化されたレポート作成機能とベンチマーク指標

脆弱性管理ソリューションは、基本的なニーズに対応できる、すぐに使用可能なレポート作成機能を提供する必要があります。また、チームのニーズ、ビジネス目標、コンプライアンスに応じたレポート作成のカスタマイズと自動化を可能にする、実績のある強力な API を搭載している必要もあります。

さらに、ベンチマーク指標を確認できるソリューションをお勧めします。競合他社との比較や社内でのベンチマークテストを行うことにより、脆弱性プログラムの有効性を評価できます。

5.シンプルな価格設定とライセンス

脆弱性管理ソリューションの価格設定は、シンプルでわかりやすいものでなければなりません。 API の使用や脅威の優先順位付けなどに対するペナルティが設定されていないライセンスモデルのソリューションを選択する必要があります。

6. スケーラビリティ

脆弱性管理ソリューションは、企業の成長や経時的な変化に応じて拡張できるものでなければなりません。 変化に適応し、常に最新の状態を維持できるソリューションを選択する必要があります。

7. 脆弱性管理のベストプラクティス

---

脆弱性管理のベストプラクティス

攻撃者がアタックサーフェス内の弱点を悪用できる方法は数多くあります。 たった一度のセキュリティ侵害でも、企業に破壊的な影響を与えることがあります。 下記は、脆弱性管理プログラムを成功に導くいくつかのベストプラクティスです。

効果的な脆弱性管理プログラムに適用できるベストプラクティスの一部を紹介します。

資産の特定と管理

まず、企業のすべての資産を特定し、各資産の場所、使用状況、責任者、そして企業にとっての重大度を判断します。

次に、ネットワーク上の他の資産との資産関係と依存関係を追跡して記録します。 攻撃者が資産の 1 つを侵害した場合には、さらなる悪用が可能になる経路が存在する可能性があります。 ある資産が「重大」ではないと判断されている場合でも、リスクをもたらす依存関係がないかを確認します。見落とされがちなアクセスポイントは Active Directory (AD) 内にあるため、特定を行う際は必ずこれを確認してください。

また、各デバイスのネットワークへの接続時と切断時にも評価を行う必要があります。 そのために必要な洞察は、ネットワークアクセスコントロールシステムを導入して、DHCP ログの確認、DNS サーバーログの確認、デバイス上にインストールした脆弱性スキャンエージェントによる定期的なスキャンを行うことによって得られます。

脆弱性の特定

資産についての洞察が得られたら、各セキュリティ問題の深刻度リスクなど、各資産の脆弱性評価を行えるようになります。

各脆弱性の悪用の難易度と可能性、成功した場合の被害について詳細に調査します。 脆弱性の深刻度を把握できれば、それぞれのセキュリティの問題について緩和と修正の優先順位付けを行えます。

定期的な脆弱性管理

従来の脆弱性管理は、定期的なポイントインタイムの脆弱性検出と評価スキャンに依存していました。しかし、セキュリティ体制を改善するには、アタックサーフェスに対して一貫性のある継続的なスキャンを実施することで、問題の検出と修正を行って攻撃の可能性を低減する必要があります。

継続的なスキャンを実施すると、手動スキャン後に残る盲点が排除され、いつ発生するかわからない新しいセキュリティの問題を検出できるようになります。 スキャンの頻度を上げ、定期的に修正を行えば、1 回のスキャンで検出される脆弱性の数を減少できます。

リスク評価

企業の資産は膨大で、種類もさまざまです。また、各デバイスのセキュリティのレベルも異なります。

つまり、資産の修正手順と優先順位付けを計画するには、各資産のセキュリティのレベルを特定する必要があるということです。 各資産の企業にとっての価値とエクスポージャーのレベルを特定すると、その資産を保護するために何が必要なのかを詳細に理解できます。

変更管理

ネットワーク上のデバイスは頻繁に変更されるため (これにより、新たなセキュリティの問題が生まれます)、変更を発生時に検出して対処できる、柔軟性の高い脆弱性管理プログラムを開発することが重要です。 変更には、アプリケーションの更新、ハードウェアの追加、ソフトウェアのアップグレードなどがあります。

効果的な変更管理は、新しいセキュリティの問題を確実かつ迅速に対処するプロセスを構築する上で役立ちます。

パッチ管理

従来の脆弱性スキャンでは検出される脆弱性の量が多いため、長時間のダウンタイムや中断なしにパッチを効果的に導入することは困難な場合があります。 最適な脆弱性管理プログラムは、パッチとリリースの管理プロセスを統合することで、重大な資産に対するタイムリーなパッチ適用を実現できる必要があります。

パッチ管理プロセスを変更管理プロセスと統合することで、更新とパッチが常に管理された方法で正しく適用されるようになるため、パッチによって脆弱性のエクスポージャーに確実に対応できます。

モバイルデバイス

今日のアタックサーフェスでは、モバイルデバイスがかなりの割合を占めていることが多くなっています。 これらのデバイスはユーザーに柔軟性を提供する一方で、企業に独自のさらなるセキュリティリスクとなる可能性があります。 また、企業が企業支給のデバイスの代わりに私物端末の業務利用 (BYOD) を許可している場合はさらに複雑化します。 その場合は、モバイルデバイスにエージェントを導入するか、モバイルデバイス管理 (MDM) システムを採用することが推奨されます。

緩和管理

組織に、利用可能なパッチや修正が存在しない脆弱性が存在することがあります。ではどうすればいいでしょうか。脆弱性管理プログラムに、対処できるようになるまでの、それら脆弱性の代替となる管理方法を用意する必要があります。効果的なアプローチとしては、ログ監視の強化、IDS 攻撃シグネチャの更新、ファイヤーウォールのルール変更などが挙げられます。

インシデント対応

脆弱性管理プログラムの有効性を測る 1 つの指標として、インシデントに対する即応性があります。 セキュリティの問題に対する即応性が高いほど、企業への影響が軽減する可能性が高くなります。 インシデント対応とは、単なる侵害への対応を指すのではありません。 インシデントに常に備えるために、予防的なアプローチを導入することも含みます。 継続的なセキュリティ監視、プロセスの自動化、アラートの通知は、即応性の高さにつながります。

オートメーション

自動化を実現することで、アタックサーフェス全体の脆弱性を迅速かつ正確に検出、評価、修正できるようになります。これは、ネットワーク上でデータの流れや変化が絶えない大規模システムでは特に有効です。 自動化を行うと、より短時間でデータを処理でき、エラーの数も減少します。