1. 脆弱性管理の概要
脆弱性管理とは?
脆弱性管理は、ネットワークの保護と運用における安全性を保つため、組織全体のサイバーリスクを特定し、運用の目標と目的に合わせて優先順位を付け、タイムリーに脆弱性の修正を行う、テクノロジーとツールの継続的なプログラムです。
脆弱性管理は、共通の目標に向かって連携する人材、ポリシー、プロセスで構成されており、それによりアタックサーフェスとサイバーリスクを可能な限り小さくします。
アタックサーフェス全体の脆弱性の修正は大変な作業です。 実際のところ、ほとんどの組織において、管理する資産の数が増加し続けており、そのペースは数百にも及ぶ潜在的な攻撃手法より早いのです。したがって、セキュリティチームでそれらすべてに対してパッチを適用したり緩和したりすることが難しくなっています。
ほとんどの組織では、従来の IT からクラウド、モバイル、コンテナやサーバーレス、ウェブアプリケーションやオペレーショナルテクノロジー (OT) の資産に至るまで、組織全体のすべての資産の詳しい情報を得るための適切なツールを持っていないことから、状況はさらに困難です。
現実世界の問題に加えて、多くの資産には複数の脆弱性やその他のセキュリティ問題が存在します。そのため、気が付けばセキュリティチームは山ほどの脆弱性に埋もれてしまっています。
脆弱性の数が多く、必要となる修正機能が異なるほど、攻撃者がアタックサーフェスを悪用するおそれは高くなります。
ここで、脆弱性管理が役立ちます。
脆弱性管理の具体的な内容は?
効果的な脆弱性管理には、5 つの中核となるステップがあります。 これらの手順は、サイバーセキュリティのライフサイクルに沿っています。
ステップ 1: 検出
コンピューティング環境全体のすべての資産を特定してマッピングする
ステップ 2: 管理
脆弱性、設定ミス、その他のセキュリティの健全性指標を含む、すべての資産のエクスポージャーを把握する
ステップ 3: 優先順位づけ
エクスポージャーの状況を把握し、資産の重大度、脆弱性の深刻度、脅威の状況に基づいて修正の優先順位付けを行えるようにする
ステップ 4: 修正
エクスポージャーの修正の優先順位付けを行い、適切な修正プロセスを使用する
ステップ 5: 測定
エクスポージャーの測定とベンチマークテストを実行し、チームがビジネスとテクノロジーに関してより適切な意思決定を行えるようにする
脆弱性管理と脆弱性評価の違い
脆弱性管理と脆弱性評価は異なるものですが、どちらも補完的な手法です。
脆弱性管理は、アタックサーフェス全体におけるすべての資産と脆弱性の特定に役立ちます。また、問題を軽減し、優先順位を付けて弱点を修正し、全体的なセキュリティ態勢を改善する方法を計画する際にも役立ちます。
一方、脆弱性評価は、すべての資産と脆弱性を特定するために定期的に実施される、1 回限りのプロジェクトです。
一般的に、脆弱性評価は、脆弱性スキャンとは異なり、開始日と終了日が指定されています。 これは、ある特定の時点におけるアタックサーフェスのスナップショットです。
脆弱性評価は脆弱性管理プログラム全体の一部であり、サイバーリスクの継続的な特定と対応に役立ちます。
脆弱性管理とリスクベースの脆弱性管理との違い
従来の脆弱性管理手法 (レガシー脆弱性管理とも呼ばれます) では、脆弱性とリスクを理論的に把握し、環境内に脆弱性を発生させるおそれのある脅威を明らかにできますが、どの脅威が実際のリスクを引き起こすのかについてはわかりません。
実際のリスクについての明確な詳細情報を得られないと、セキュリティチームは実際にはリスクではない脆弱性の修正に追われて身動きできなくなり、企業に影響を与える可能性の高い深刻な脆弱性の検出と修正を見落とす可能性があります。
脆弱性管理のプラクティスにリスクベースのアプローチを加えると、脅威に関する詳細情報が把握でき、リスクをより詳しく理解できるようになるため、アタックサーフェス全体のすべての弱点が企業に与える潜在的影響について洞察を得られます。