脆弱性管理とは?

1. 脆弱性管理とは?

---

脆弱性管理は、組織全体のセキュリティ上の弱点を特定、優先順位付け、修正するためのテクノロジー、ツール、ポリシー、手順によって構成された、 セキュリティチームが侵害やサイバー攻撃が発生する可能性を低減させるのに役立つ、事前対策型のプロセスです。 リスクベースのアプローチにより、サイバーセキュリティリスク管理プログラムを組織運営の目標や目的と整合させることもできます。

脆弱性管理の目標は、迅速かつ効果的にエクスポージャーを低減させ、オンプレミスとクラウドのアタックサーフェスを侵害から守ることです。

適切な脆弱性管理ソリューションを使用すると、常に変化するアタックサーフェスの包括的な可視化によって、環境を継続的に監視し、時とともに変化する脅威に後れを取らずに対応できるようになります。

脆弱性などのセキュリティ上のエクスポージャーを管理するための成熟したプログラムは、侵害やサイバー攻撃のリスクを低減して運用上のレジリエンスを確保するための鍵となります。

脆弱性管理には、以下の 4 つの主要な段階があります。

• オンプレミスとクラウドのすべての環境にわたって資産と脆弱性を特定する
• 脅威インテリジェンス、組織のリスクプロファイル、攻撃者が近いうちに悪用する可能性が最も高い脆弱性がどれかに基づいて、重大なエクスポージャーの脆弱性の修正作業を優先順位付けする
• セキュリティ問題を解決する
• 継続的な監視、報告、プログラムの改善を行う

リスク重視の脆弱性管理プログラムを策定することで、従来の脆弱性管理ツールでは見逃されるセキュリティ上の弱点を把握、可視化、解決して組織を保護することができます。

従来の IT システムだけでなく、次のものも対象となります。

• クラウドシステムとサービス
• モバイルデバイス
• コンテナまたはサーバーレス機能
• ウェブアプリケーション
• オペレーショナルテクノロジー (OT)

どのサイバー脅威環境もその組織固有なものですが、主な脆弱性には以下の 4 つの種類があります。

1. オペレーティングシステムとアプリケーション
2. ネットワーク
3. 設定ミスとプロセスベース
4. 人的要因

脆弱性の例

• システム、ネットワーク、アプリケーションの設定ミス
• パッチ未適用または古いオペレーティングシステムやソフトウェア
• オープンポートや使用されていないサービス
• 無効な、または不備のある認証
• SQL インジェクション
• クロスサイトスクリプティング (XSS)

最も一般的な脆弱性は何ですか?

OWASP Foundation は、OWASP Top 10 脆弱性リストを積極的に更新しています。 前回の一般的な脆弱性のリストは以下のとおりです。

1. アクセス制御の不備
2. 暗号化機能の不備
3. インジェクション
4. 安全でない設計
5. セキュリティの設定ミス
6. 脆弱で古いコンポーネント
7. 識別や認証機能の不備
8. ソフトウェアとデータの整合性の障害
9. セキュリティのロギングと監視の不備
10. サーバーサイド リクエストフォージェリ (SSRF)

脆弱性管理では具体的に何が行われますか? 脆弱性管理の 5 つのステップとは?

脆弱性管理ライフサイクルは次のとおりです。

ステップ 1: 検出

オンプレミスとクラウドのすべてのコンピューティング環境にわたって全資産を特定してマッピングし、脆弱性やその他のエクスポージャーをスキャンします。

ステップ 2: 管理

脆弱性、設定ミス、その他のセキュリティの健全性指標を含む、資産の重要度とリスクを把握します。

ステップ 3: 優先順位付け

文脈を踏まえてエクスポージャーを把握したうえで、資産の重要度、脆弱性の深刻度、自組織の環境、脅威の文脈に基づいて修正作業を優先順位付けします。

ステップ 4: 修正

事業リスクに基づいて、どのエクスポージャーに最初に対処すべきか優先順位付けします。 そして、適切な業界のベストプラクティスを使用して修正を行います。

ステップ 5: 測定

エクスポージャーを測定して社内や競合他社との比較でベンチマーキングを行い、セキュリティチームが業務およびサイバーリスクに関して、より情報に基づいた意思決定を行い、リスクの削減、コンプライアンス、プログラムの成熟を推進できるようにします。

脆弱性管理と脆弱性評価の違い

脆弱性管理と脆弱性評価は異なりますが、並行して使用します。これらの用語はしばしば同じ意味で使用されますが、区別が必要です。

サイバーセキュリティ脆弱性管理は、アタックサーフェス全体の資産と脆弱性を特定します。 セキュリティ問題を軽減し、脆弱性に優先順位を付けて修正するための戦略を策定することに役立ちます。

これは、開始と終了の日付が設定されている脆弱性スキャンとは異なります。 脆弱性の分析は、アタックサーフェスのポイントインタイムのスナップショットで、 脆弱性管理プログラム全体の中の一部であり、サイバーリスクを継続的に特定して対処する手助けとなるものです。

リスクベースの脆弱性管理とは何ですか？

リスクベースの脆弱性管理は、アタックサーフェスを包括的に可視化し、どのセキュリティ問題が最も深刻なリスクをもたらすかを確認できるようにします。

攻撃者が近いうちに悪用する可能性が最も高い深刻な脆弱性やその潜在的な影響を把握できるようになると、より効果的にエクスポージャーを軽減して修正し、リスクを削減することができます。

AI と機械学習によってリスクベースの脆弱性管理の手法が強化され、単なる脆弱性の検出を超えた機能が提供されます。 目標は、事業への影響についてのインサイトを含む脅威の文脈を使用して、リスクを把握することです。

脆弱性管理とリスクベースの脆弱性管理との違い

従来の脆弱性管理手法は、脆弱性とリスクを俯瞰的に可視化し、 脆弱性によってもたらされる可能性のある脅威を発見します。 しかし、従来のプロセスでは、脅威環境についての真のインサイトを得ることができません。

チームが文脈を踏まえてリスクを理解していなければ、脅威とならない脆弱性のために時間を無駄にしてしまい、組織に悪影響を及ぼす可能性が高いリスクのある脆弱性の発見と修正ができなくなる可能性があります。

脆弱性管理のメリットは何ですか?

• 脆弱性の脅威の文脈が提供される
• 最小限の労力でリスクを最大限に削減できるようチームの力が強化される
• アタックサーフェス全体にわたり、すべての脆弱性が包括的に可視化される
• サイバーリスクがビジネスリスクと整合されることで、業務やサイバーリスクに関して、より情報に基づいた意思決定を行えるようになる
• プログラムの成功を示すベンチマーキングと報告ができる
• 主要なステークホルダーにビジネスの文脈を踏まえてサイバーリスクを伝達するのに役立つ
• 事後対応型のセキュリティ対策が削減される
• 従来の脆弱性管理プロセスによって生み出された盲点がなくなる
• 組織に最も重大なリスクをもたらす 3% の脆弱性に重点を置けるようになる

脆弱性管理の一般的な課題は何ですか?

脆弱性が多すぎる

• 従来の IT、IoT、IIoT、ウェブアプリ、クラウドインフラやクラウドサービス、仮想マシンなど、導入するテクノロジーの数と種類が増えるにつれて、脆弱性やその他のセキュリティ問題も飛躍的に増加します。
• リスクベースのソリューション: 固有の環境に対する実際のリスクや業務への影響に基づいて脆弱性を優先順位付けし、どのエクスポージャーに最初に対応するかを把握できるようにします。

優先順位付けに必要な脅威の文脈情報の欠如

• 多くの脆弱性管理ツールは、脆弱性の検出は行うものの、エクスプロイトの可能性については文脈情報を提供せず、脅威インテリジェンスも備えていません。 事業に影響を及ぼさない多くの脆弱性を高または重大とランク付けしてしまいます。
• リスクベースのソリューション: AI、機械学習、その他 Tenable Research などの業界で信頼されている脅威インテリジェンスを使用して、ACR (資産重大度の格付け) や脅威の文脈を把握したうえでエクスポージャーの修正を優先順位付けします。

資産の追跡と、資産のあらゆるリスクについてのインサイトが不十分

• アタックサーフェスが拡大し、その複雑性も増しているため、ほとんどのセキュリティチーム、特に断片的なサイバーセキュリティ管理ツールを使用しているチームは、すべての資産とセキュリティエクスポージャーを完全に可視化することができません。
• リスクベースのソリューション: 自動化ツールやその他のリスク認識型ツールを使用してあらゆる資産を把握します。非常に高速で起動する短寿命な資産も捉えます。

パッチ管理

• パッチの適用作業は容易ではありません。 一部のパッチはシステムに悪影響を及ぼし、予期せぬダウンタイムや中断を招きます。
• リスクベースのソリューション: エクスプロイトの可能性やビジネスへの影響についてのインサイトを用いて、どの脆弱性を最初に修正してどの脆弱性へのパッチ適用を後回しにするのかについての計画を立てることができます。

限られたリソース

• サイバーセキュリティは数百万のポストが埋まらない人材不足の状態にあり、この問題はクラウドセキュリティ担当者に対するニーズの高まりによって悪化しています。
• リスクベースのソリューション: リスクや脅威の文脈に焦点を当てた自動化、AI、機械学習のツールによって、より少ないリソースと費用で、効果的で実行可能な修正判断をより迅速に行えるようになります。

マネージド脆弱性管理サービスとは何ですか?

マネージド脆弱性管理サービスとは、組織がサードパーティのマネージドセキュリティサービスプロバイダー (MSSP) に外部委託する、以下のようなサイバーエクスポージャー管理を指します。

• 継続的な脆弱性スキャン
• リスクの特定、優先順位付け、修正
• 修正プロセスとガイダンス
• メトリクス、文書化、レポート作成

以下の場合、脆弱性管理を外部委託する必要があるかもしれません。

• 組織内のリソースや予算が限られている
• 従来の IT、OT、マルチクラウドまたはハイブリッドクラウドが混在する複雑な運用環境
• 急速な脅威状況の変化についていけない

2. 資産と脆弱性

---

資産とは何ですか？

資産とは、アタックサーフェス内のハードウェアまたはソフトウェア (サーバー、ネットワーク、デスクトップパソコンなどの従来の IT 資産) その他の以下のようなデバイスです。

• スマートフォン
• タブレット
• ノート PC
• 仮想マシン
• サービスとしてのソフトウェア (SaaS)
• クラウドホスト型インフラ
• クラウドテクノロジーとクラウドサービス
• Web アプリケーション
• IoT デバイス

資産検出とは何ですか? 資産検出でどのように脆弱性管理プログラムを成熟させることができますか?

資産検出は、ハードウェア、ソフトウェア、ネットワークデバイス、クラウドリソースを特定して追跡し、 以下の作業を支援します。

• 重要資産の特定と、ミッションクリティカルな業務におけるその役割の把握
• サイバー攻撃に対して最も脆弱な資産の把握
• セキュリティギャップを生み出す脆弱性の見落としや見逃しを検出
• 修正作業の優先順位付け
• IT チームが認識していない可能性のあるシャドー資産の検出と評価
• 法、規制、契約による要件に対するコンプライアンスの確保

アタックサーフェスとは何ですか?

IT のアタックサーフェスは、攻撃者が悪用してサイバー侵害を引き起こす可能性のある複数のエクスポージャーポイント (資産) で構成されています。

多くの組織は、アタックサーフェスの対応に苦戦しています。 拡大を続ける複雑なアタックサーフェス上で膨大な量の脆弱性を軽減して修正する必要があるため、効果的なプロセス管理が困難になっています。

アタックサーフェスを評価するためのヒントには次のものがあります。

1. 資産の種類にかかわらず、すべての資産を特定する
2. 各資産の場所を特定する
3. 各資産の管理者およびアクセス権限を持つユーザーを特定する
4. 資産の種類 (クラウド、モバイル、従来の IT、IoT など) を定義する
5. 資産が事業の運営にとって重要かどうかを見極め、それに応じて優先順位を付ける
6. 攻撃者が脆弱性を悪用した場合に何が起こる可能性があるのかを判断する
7. ビジネスへの影響や悪用される可能性に基づいて、脆弱性を優先順位付けして修正する
8. 必要に応じてセキュリティ問題を継続的に監視して対処する

セキュリティ上の脆弱性とは何ですか?

セキュリティ上の脆弱性とは、バグ、プログラミングミス、設定ミスなどの、攻撃者が悪用する可能性のあるハードウェアまたはソフトウェアの弱点です。

コード内の問題を修正するパッチの適用によって対処できるセキュリティ脆弱性もあります。

システムの設定ミスにも脆弱性が含まれることがあり、それが新たな攻撃経路を生み出す可能性もあります。

攻撃者がセキュリティ上の弱点を標的にする一般的な手法は次のとおりです。

• 設定ミスやパッチが未適用のシステムを突いた攻撃
• 実在する組織を装ったメールの送信 (フィッシング)、またはその他のソーシャルエンジニアリング戦術により、ユーザーをだまして認証情報などの機密情報を開示させる
• 認証情報を盗難してユーザー名とパスワードを収集し、アタックサーフェスを横断するラテラルムーブメントに利用する
• 悪質なソフトウェアやマルウェアの注入
• サービス拒否 (DoS) や分散型サービス拒否 (DDoS) のフラッド攻撃によって、本物のサービスリクエストに対するシステムの応答を制限する
• クロスサイトスクリプティング (XSS) (ウェブサイトへの悪質なコードの挿入)
• 中間者 (MitM) 攻撃によって、公衆 Wi-Fi のような安全でないネットワークを介してユーザーを侵害する
• 悪質な SQL インジェクションによる機密データへの不正アクセス
• 脆弱性に対応するパッチやリリースが発行される前に実行されるゼロデイエクスプロイト

3. 脆弱性スキャン

---

脆弱性スキャナーとは

脆弱性スキャナーは、アタックサーフェス全体の脆弱性を検出する自動化されたツールです。

脆弱性スキャンの種類には次のものがあります。

• 認証スキャンはログイン認証情報を使用して、資産、システム、ネットワーク内のセキュリティ問題に関する詳細な情報を検出します。
• 非認証スキャンは認証情報を必要とせず、オープンポート、オープンプロトコル、外部に露出したホストサービスを対象とします。
• 組織内で実行される内部脆弱性スキャンは、攻撃者がネットワーク内でどのような動きをする可能性があるかを明らかにします。例えば、環境を隅々まで探索するラテラルムーブメントの実行を目的に、Active Directory に最初の足場を作ることができるかなどを検出します。
• ネットワーク外部で実行される外部脆弱性スキャンは、セキュリティの弱点を検出します。
• ネットワークベースのスキャンは、ファイヤーウォール、ルーター、サーバー、ネットワークアプリケーションなどのデバイスを対象とします。
• ウェブアプリケーションスキャンは、アプリケーションにおけるセキュリティ上の弱点を発見します。
• クラウドベースのスキャンは、AWS、GCP、Azure などのクラウド環境のセキュリティ問題を診断します。
• ホストベースのスキャンは、単一のデバイスやホストの脆弱性を確認します。

脆弱性スキャナーはどのように機能し、何を検出しますか?

脆弱性スキャナーは、資産のセキュリティ上の弱点を検出するプロセスを自動化することで機能します。

脆弱性スキャナーは、一般的に以下を行います。

• アクティブとパッシブのスキャン手法を使用して、対象となる環境の資産を検出する
• 資産の種類、オペレーティングシステム、ソフトウェアとバージョン、サービス、アプリケーション、オープンポートを特定してリスト化する
• 設定ミス、コードの問題、未適用のパッチ、旧式のオペレーティングシステムやソフトウェアなどの脆弱性を特定する
• リスクにスコアを付け、最初に修正すべき脆弱性を優先順位付けする
• 検出結果のレポートを作成する

脆弱性スキャナーは、以下のようなセキュリティ問題を検出できます。

• 古いオペレーティングシステムやファームウェア
• パッチの未適用
• 設定ミス
• パスワードなどの認証情報の欠落や強度不足
• オープンポートや安全ではないポート
• 既知の脆弱性
• 期限切れのセキュリティ証明書
• マルウェア
• 過剰または不適切な権限
• SQL インジェクションまたはクロスサイトスクリプティング

アクティブスキャナー

アクティブスキャナーは、特定のポイントインタイムでのネットワークや資産の詳細な状況を可視化します。

アクティブスキャンによってネットワークトラフィックが生成され、ネットワーク上のデバイスとの対話が行われます。 リモートターゲットにパケットが送信され、その時点におけるネットワークのスナップショットが作成されます。

その後、アクティブなサービスやアプリケーションをプラグインデータベースと比較して、脆弱性が存在するかどうか確認できます。

アクティブスキャンは、IT/OT 融合環境内の IT デバイスに最適であり、 以下についてインサイトを提供します。

• インストールされているアプリケーション
• ライブラリ、サービス
• 脆弱性
• ユーザー、グループ、インストールされているソフトウェアに関する詳細情報

アクティブスキャンは、設定の評価にも役立ちます。 重要なシステムやアプリケーションのデフォルトのユーザー名とパスワードを検出します。 これらのスキャンはマルウェアの検出に役立ち、バックドア、オープンポート、不正なファイルハッシュなどの問題を明らかにすることができます。

Tenable Vulnerability Management には、以下のアクティブスキャンが統合されています。

• ユーザーが起動するオンデマンドスキャン
• 設定されたスケジュールに従って日次、週次、月次で起動される定期スキャン
• スケジュールされた親スキャンが完了した時点で起動される依存スキャン (依存スキャンは、他の依存スキャンとのデイジーチェーン接続が可能)

アクティブスキャンは、ネットワーク上に時々現れるタブレット、スマートフォン、ノートパソコンなどのデバイスは対象としていません。

また、アクティブスキャンによって中断が起こる場合もあります。 スキャンされると機能が停止したりダウンタイムが発生したりする可能性のある資産に対しては、使用すべきではありません。 例えば、医療機器、IoT システム、産業用制御システムなどの、組織のインフラに不可欠なシステムなどがその類に含まれます。

認証スキャン

認証スキャンでは、ユーザーがデバイスにリモートログインして徹底的に調査を行うことができます。 設定や、ソフトウェアがマルウェアに感染したかどうかなどの情報が収集できます。

認証スキャンを実行するために、資産にソフトウェアをインストールする必要はありません。 しかし、スキャンで消費されるネットワーク回線容量や処理能力が原因で、中断が起こる可能性もあります。

OT 環境の上位層にある IT セキュリティ制御に対しては、認証スキャンのほうが適切かもしれません。 多くの場合、こうしたスキャンを非認証スキャンと併用すると、内側からと外側からのインサイトをより多く得ることができます。

エージェント

エージェントスキャンは、内側から外側へのアプローチで各デバイスを調査します。 このスキャンは通常、制御環境システムで行われ、デバイスやサーバーにインストールすることで機能します。 エージェントスキャンは、ネットワークへの接続頻度が高くない (または全く接続しない) デバイスに適しています。

エージェントスキャンは、マルウェアや設定ミスを検出し、脆弱性を発見できます。

エージェントは概して簡単にインストール可能で、侵入型ではありません。 しかし、リソースに関する欠点があります。 エージェントはデバイス上にインストールされるため、電力、回線容量、ディスクやメモリの容量を消費します。 オンデバイスのインストールに際して、特に OT 環境では、インストール前にエージェントを入念にテストしてください。

イメージレジストリ

イメージレジストリは、ビルドまたは開発段階にあるソフトウェア向けのセキュリティプロセスです。 イメージレジストリは資産のイメージを保持してスキャンします。 これにはパブリッククラウドのインスタンスやコンテナが含まれます。 イメージレジストリの利点は、新しいソフトウェアを導入する前に潜在的なセキュリティ問題を発見できることです。 オープンソースソフトウェアまたはコンポーネントにイメージレジストリを使用することもできます。

どのくらいの頻度で脆弱性スキャンを行うべきですか?

脆弱性スキャンの実施頻度の決定には、次のことを考慮します。

• 組織の規模
• 業種
• セキュリティとコンプライアンスの要件
• リスクプロファイル
• 自組織のアタックサーフェスの特性

継続的な脆弱性スキャンを自動化することがベストプラクティスです。自動化された継続的な脆弱性スキャンは最適な方法です。 自動化が不可能な場合、最低でも月 1 回、または容認できるリスクレベルに基づいたそれ以上の頻度でのスキャンをご検討ください。 また、拡張、新規デバイスの導入、あるいはシステム、インフラ、ソフトウェアの大規模な更新などのネットワークの変更があった場合にも、スキャンを実行してください。

自動化された脆弱性スキャンの利点

• より少ないリソースを使用して複雑なアタックサーフェスをスキャンできる
• IT セキュリティのワークロードの削減
• リアルタイムでのセキュリティエクスポージャーの特定
• 経時的な変更を追跡できる
• ヒューマンエラーが発生する可能性が減少する
• 一貫したプロセスとポリシーのコンプライアンスの達成
• アタックサーフェス全体をより包括的に可視化する
• 事前対策型のセキュリティ態勢により、サイバー攻撃が発生する可能性が低減する

4. 脆弱性管理における脆弱性評価の役割

---

脆弱性評価は、脆弱性管理において重要な役割を果たします。 セキュリティ評価によって、検出された資産と脆弱性を優先順位付けして修正できるようになります。

脆弱性対策の重要性の観点から見て、脆弱性評価は、ビジネス上のリスクに関連するサイバーリスクを把握し、より情報に基づいた戦略的な意思決定を行うのに役立ちます。

脆弱性評価とは何ですか?

脆弱性評価は、企業全体の脆弱性を把握し、明らかにして解決するための手段です。 さまざまなスキャンツールや技術を使用して、未適用のパッチ、設定ミス、古いオペレーティングシステム、ソフトウェア、ファームウェアなどのセキュリティ上の弱点を発見します。

これらの評価は脆弱性を特定するだけでなく、 修正戦略を優先順位付けして発展させるための文脈や脅威インテリジェンスを提供します。 サイバー攻撃が発生する可能性を低減させるための事前対策型のアプローチです。

脆弱性評価の課題

• 対処すべき脆弱性が多すぎる
• 脅威の文脈情報や信頼できる脅威インテリジェンスがない
• 重大または高と評価されているが、実際にはリスクとならない脆弱性が多すぎる
• 修正を優先順位付けするための情報が不十分
• 確立された修正プロセス、または修正プロセスのベストプラクティスがない
• 誤検出と検出漏れが多すぎる
• 脅威アラート疲れ
• 資産の種類や攻撃経路が過度に多様である
• すべての資産を可視化できていない
• 事後対応型のセキュリティ制御が多すぎる

脆弱性評価の利点

• 資産全体にわたるセキュリティ上の弱点の特定
• ネットワーク、システム、アプリケーションのセキュリティ評価
• リスクの削減
• 事前対策型のサイバーセキュリティ管理
• コンプライアンスの確保
• サイバー保険の確保を支援
• サイバー侵害の可能性や、関連して発生する罰金、違約金、復旧コストの低減

脆弱性評価とペンテストはどう違いますか?

脆弱性評価とペネトレーションテストは連携していますが、同じものではありません。 対象範囲と優先順位が異なります。

脆弱性評価は、ポイントインタイムでセキュリティ上の弱点を調査します。

ペネトレーションテストでは、 実際のサイバー攻撃のシミュレーションによって、攻撃者が脆弱性をどのように悪用する可能性があるかを実証します。 ペンテストによって、見落としていた可能性のあるその他のセキュリティ問題も検出できます。

脆弱性評価は脆弱性を検出します。 一方、ペネトレーションテストは影響を実証します。

5. 脆弱性のスコア付けと優先順位付け

---

脆弱性の優先順位付けとスコア付けは、連動して修正に必要な情報を提供します。 スコア付けは、各脆弱性を潜在的な影響に基づいて評価します。 優先順位付けはスコアを利用しますが、さらに一歩踏み込んで、実際のエクスプロイトが存在するのか、その脆弱性を攻撃者が近いうちに悪用する可能性がどの程度あるのか、事業上の影響があるのかを考慮します。 これらの優先順位付けの要因は、組織に直接影響を及ぼす可能性が最も大きいため、どのセキュリティ問題から取り組むべきか計画するのに役立ちます。 脆弱性のスコア付けと優先順位付けを共に使用することで、リスクが削減できます。

脆弱性の優先順位付けはなぜ重要なのですか?

脆弱性の優先順位付け、すなわちリスクの優先順位付けがなぜ重要なのかというと、どの脆弱性が早急な対処を必要としているのか、どれを後回しにできるのかを理解するのに役立つからです。 この情報がないと、膨大な量の潜在的な脆弱性の文脈が失われ、どれを最初に修正すべきかが理解できなくなります。

優先順位付けを行わないと、セキュリティチームは事後対応型セキュリティのループから抜け出せないまま時間を無駄にしてしまいます。 優先順位付けなしに脆弱性管理に取り組むのは非効率的であり、投入するリソースや資金が瞬く間に消費されてしまい、リスク削減にはほとんど役に立ちません。

脆弱性の優先順位付けの一般的な課題は何ですか?

• 文脈がほとんど皆無な脆弱性データが多すぎる
• アラートが多すぎる
• 誤検出と検出漏れが多すぎる
• スコア付けが不十分であるため、どの脆弱性のリスクが高く、どれが急を要さないものなのかを把握するのが困難
• サイバーリスクがどのようにビジネス上のリスクと関連しているのかを十分に把握できない
• すべての資産を特定し、どれが運用のレジリエンスに不可欠なのかを把握するうえでの問題
• 熟練したセキュリティ専門家の採用が困難
• 予算の制約
• 断片的な脆弱性管理ツールによるデータのサイロ化
• 急速に進化する脅威環境

脆弱性の修正の優先順位付けを行うメリットは何ですか?

• 的を絞った、より効率的な修正プロセス
• より少ないリソースや費用で実行できる、実行可能なリスク削減
• 重大な脆弱性の修正の迅速化
• サイバー攻撃を受ける可能性の減少
• 運用効果の向上
• コンプライアンスについての確信の向上
• サイバーリスクをビジネス上のリスク許容度や組織の目標と整合できる
• サイバーハイジーンの改善
• セキュリティ態勢の強化

共通脆弱性識別子 (CVE) とは何ですか? どのように使用されるものですか?

共通脆弱性識別子 (CVE) は、MITRE が特定して CVE データベースに掲載した既知のセキュリティ脆弱性を対象とする、業界で認められた識別子です。 MITRE は各 CVE に記録された年と CVE 番号を割り当てます。 各 CVE には、名称、説明、エクスプロイトによる潜在的な影響などの、その他の重要な情報も含まれています。 CVE データベースには 26 万 5,000 件以上の CVE が登録されています。

CVE は、組織が複数のツールやテクノロジーにわたって脆弱性データを追跡する方法を標準化します。 たとえば、脆弱性スキャナーに CVE データを使用させて脆弱性を詳述させ、修正作業に役立つ文脈を得ることができます。

VPR とは

VPR、すなわち Vulnerability Priority Rating は、Tenable 基準の脆弱性スコア付けツールです。 VPR は共通脆弱性評価システム (CVSS) とは異なり、リアルタイムの脅威インテリジェンス、資産の重要度、実際のエクスプロイト活動などの要因を考慮に入れたうえで、リスクプロファイルやアタックサーフェスに基づいてどの脆弱性が最大の脅威をもたらすかを示唆します。VPR は静的な指標ではなく、Tenable は VPR システムを、新たな脅威インテリジェンスが現れるたびに更新しています。

VPR と比較すると、CVSS では「緊急」または「重要」と評価された脆弱性が大量に報告されます。しかし、セキュリティチームはそのすべてを実際に検出して修正する必要はありません。 すべての脆弱性が実際にリスクをもたらすとは限らないのです。 VPR 活用の鍵は、攻撃者が悪用する可能性が最も高いのはどの脆弱性なのかを、アタックサーフェスやその他の要因に基づいて理解することです。

AI や機械学習は、どのように脆弱性の優先順位付けに使用できますか?

AI や機械学習を使用すると、脆弱性データ、脅威インテリジェンス、資産の情報を迅速かつ正確にリアルタイムで評価できるので、誤検出や検出漏れ、不必要なアラートが減少します。 AI 脆弱性管理ツールは、履歴データを利用して、将来のエクスプロイト活動やその他のパターンを予測することができます。

Tenable Exposure AI は、修正方法の説明を提供することによってリスク低減の活動を加速させるなど、生成 AI を使用してより迅速な脆弱性分析と意思決定を促進します。 このソリューションによって文脈に基づいた脅威データが提供されるため、 チームはより効果的で先行的なセキュリティの意思決定を行い、サイバー侵害が発生する可能性を低減できるようになります。

6. ネットワーク監視ツール

---

ネットワーク監視とは何ですか? 脆弱性の管理にどのように役立ちますか?

ネットワークの脆弱性監視は、以下のような従来の IT インフラに含まれる脆弱性やその他のセキュリティ問題を検出します。

• ネットワーク
• サーバー
• オペレーティングシステム
• アプリケーション

ウェブアプリケーションスキャナーは似ていますが、サードパーティ製アプリケーションと連携して組織内のアプリケーションをテストするものです。

パッシブネットワーク監視

パッシブネットワーク監視では、ネットワーク内のアプリケーションやオペレーティングシステムについての継続的なインサイトが得られます。 次のような状況が確認できます。

• 誰がネットワークに接続しているのか
• データの転送
• 現在アクティブなホスト
• いつ新しいホストがアクティブになったか
• どのポートやサービスがアクティブか
• 資産間の接続

パッシブネットワーク監視では、ディープパケットインスペクションを使用してネットワークトラフィックを分析します。 IT/OT 融合環境の IT デバイスや OT デバイスに理想的であり、アクティブなネットワーク資産や脆弱性、アクティブな状態でインストールされたアプリケーションやサービスを検出して特定することができます。

アクティブスキャンは業務を中断する可能性があるため、常に選択できるものではありません。 代わりにパッシブスキャンを使用すれば、アタックサーフェス全体で何が起こっているのかを常に把握できるので、より正確な可視性が得られます。

パッシブネットワーク監視はリアルタイムの資産検出も使用します。 つまり、定期的なアクティブスキャンによって生じる盲点をなくすことができます。

パッシブネットワークスキャンは、産業用制御システム (ICS) や、SCADA (監視制御およびデータ収集) システムの脆弱性の検出に効果的です。 アクティブスキャンは、これらの環境を中断させる可能性があります。

Nessus Network Monitor

Nessus Network Monitor (NNM) は、ネットワークトラフィックをパッシブに分析して、盲点をなくします。 NNM は、機密システムを管理するための、非侵入型の安全な方法です。

Tenable Vulnerability Management と Tenable Security Center には、センサーとして Nessus Network Monitor が含まれています。

ネットワーク監視の使用には、次のような利点があります。

• 非侵入型の継続的なネットワーク監視とネットワークのリスク評価
• ネットワークトラフィックをパケットレベルで監視し、サーバー側とクライアント側の脆弱性を可視化
• 仮想システムやクラウドサービスを含むあらゆるデバイスに対する、将来的な資産の検出と脆弱性監視を実現
• インフラと脆弱性の自動評価
• 通信システム (プロトコルとアプリケーションを含む) の脆弱性検出
• アプリケーション侵害の特定
• すべてのデバイスについての包括的な資産検出

パッシブネットワーク監視ツールには、何が期待できるでしょうか?

• ネットワークトラフィックの完全な可視化
• 物理テストアクセスポイント (TAP) または SPAN ポートに接続するためのセンサーとして機能 (クラウド環境または仮想インフラ内のトラフィックの監視は、適切に設定された仮想マシン上で実施される必要がある)
• 伝送制御プロトコル (TCP) とユーザーデータグラムプロトコル (UDP) のサポート
• SCTP、ICMP、IPIP などのシステムプロトコルのサポート
• 組織で使うプロトコルを使用している、アタックサーフェス全体のすべての資産の認識
• すべての既知の脆弱性の特定
• セキュリティ情報およびイベント管理 (SIEM) ソリューションが新たな資産を検出した際のアラート

Tenable Nessus では、センサーを監視するパッシブネットワーク監視によって、すべてのアクティブなネットワーク資産を継続的に検出できるようになり、脆弱性評価が容易になります。 Nessus Network Monitor は Tenable Vulnerability Management に統合されています。

企業向けのネットワーク脆弱性評価とは何ですか?

企業向けのネットワーク脆弱性評価は、セキュリティチームが IT インフラ全体のセキュリティ上の弱点を特定して評価するのに役立ちます。 ネットワーク、データベース、アプリケーション、その他の資産をスキャンしてセキュリティのエクスポージャーを発見することで機能します。

企業向けのネットワーク脆弱性評価では、IT 資産と脆弱性を可視化することによってエクスポージャーを低減できます。 また、多数のセキュリティフレームワークやコンプライアンス基準への準拠もサポートしています。

7. パッチ管理

---

パッチ管理とは何ですか?

パッチ管理は、システムやソフトウェアを更新してサイバーエクスポージャーを削減するプロセスです。

パッチインストールの優先順位付けには、以下の課題があります。

• アタックサーフェス内のシステムやアプリケーションが非常に多い
• 絶えず新しいパッチがリリースされている

パッチ適用の優先順位は、脆弱性のリスク評価と合致している必要があります。 評価システムが脆弱性を「重大」または「高」とランク付けしたら、まずそれらに着手します。 続いて、低いランクの脆弱性に対応していきます。

資産検出と同様、脆弱性管理プラットフォームなしにパッチの適用状況を包括的に可視化することは困難です。

たとえば Tenable Vulnerability Management のダッシュボードには、自組織の重要資産に必要なパッチが表示されます。 Tenable の VPR では、効率的な修正を行うために、まず注目すべき場所が示されます。

パッチ一覧をフィルタリングして、詳細を確認することもできます。 過去 90 日間に公開されたパッチを確認する際は、どれが最も重要であるかを示すよう、ビューをフィルタリングします。

中には中断を引き起こすパッチもあるため、パッチをアクティブな環境に展開する前に、事前テストを行うことをお勧めします。 デプロイメント後は、内部および外部のペネトレーションテストを実施して、パッチが目的どおりに動作しているか確認することをご検討ください。

使用しているパッチ管理システムは効果的ですか?

• すべてのセキュリティパッチを適用していますか?
  • すべてのパッチを当てるべきか否かの方針を組織内で立てます。 すべてを適用する方針の場合、Nessus と Tenable Security Center をによって、パッチシステムが機能しているかどうかを判断できます。 組織内で 100% 適用する必要がない場合、外部監査を実施して、パッチを適用しても修正されないセキュリティギャップを明らかにします。
• パッチは発行後すぐに適用していますか?
  • パッチをインストールする期間に関するポリシーを作成します。 Nessus と Tenable Security Center を使用すると、ポリシー内の矛盾をテストし、進捗状況をレポートできます。
• 新しいホストをパッチ管理プログラムに入れていますか?
  • サーバーまたはデスクトップパソコンをインフラに追加したら、Tenable Security Center を使用してパッチ発行のサイクルを監視します。
• 環境に埋め込まれているデバイスをパッチ管理プログラムに入れていますか?
  • スイッチ、ファイヤーウォール、ルーター、プリンターなどの埋め込みデバイスにはセキュリティ問題が存在します。 Tenable Nessus と Tenable Security Center を使用して、デバイス内のパッチの問題を検出します。

オンデマンドの脆弱性管理ウェビナー 「Let’s End the Confusion and Get Awesome at Patching (混乱に終止符を打ち、最高のパッチ適用を)」をご覧ください。 以下の内容が討議されています。

• 脆弱性が「重大」と評価される理由、それが効果的なパッチ適用に及ぼす影響
• セキュリティチームと IT チームのコミュニケーションギャップを解消してパッチ適用の効率を高める方法
• パッチ適用と修正作業を合理化する方法

一部のパッチが失敗するのはなぜですか?

• UNIX サーバーや Windows サーバーのようなデバイスでは、セキュリティが非常に厳しい場合があります。 設定によっては、リモートユーザーアカウントやローカルユーザーエージェントがパッチをプッシュすることが妨げられます。
• ネットワークアクセスの制限。 古い DNS サーバー、または動作しているように見えるが古いローカルルーターなど、時代遅れのネットワーク設定がサーバーに残っている場合などに生じます。
• ファイヤーウォールルールがシステムに影響を与えて、パッチの失敗を引き起こす可能性があります。
• 考慮されていないパッチの依存関係が存在する可能性があります。
• ドライブやパーティションの容量が限られている場合、パッチの適用が失敗する可能性があります。 これは、自己解凍型パッチの場合にも当てはまります。
• 帯域幅が制限されていると、パッチの配布とインストールが妨げられる可能性があります。

脆弱性の修正におけるパッチ管理の役割

• 脆弱性を素早く修正できるようにする
• アタックサーフェスを縮小する
• セキュリティ問題や設定ミスに、先行的に対処する
• エクスプロイトのリスクを低減する
• サイバーハイジーンを改善する

8. クラウド脆弱性管理

---

クラウドでの脆弱性管理とは何ですか?

クラウドでの脆弱性管理には、クラウド環境内のセキュリティリスクの特定、優先順位付け、修正が含まれます。 クラウドは動的な環境です。 リソースは絶えずプロビジョニングとプロビジョニング解除を繰り返しているため、従来のセキュリティ手法が常に有効とは限りません。

クラウド脆弱性管理プログラムの効果を確実なものにするには、CNAPP などのクラウドネイティブなツールを使用して、セキュリティチームがパブリッククラウド、プライベートクラウド、ハイブリッドクラウド環境で可視性を維持し、設定ミスを検出し、潜在的な脅威に素早く対応できるようにする必要があります。

クラウド環境での一般的な脆弱性は何ですか?

クラウド環境によくある脆弱性には、設定ミス、パッチ未適用のソフトウェア、安全でない API などがあります。 その他のクラウドの一般的な脆弱性は、過剰に付与された権限によるストレージアクセス、外部公開されているサービス、不適切な ID およびアクセス管理 (IAM) の設定などです。

セキュリティチームは誤って、データベースや仮想マシンなどのクラウドリソースを一般アクセス可能な状態にしてしまうことがあります。 これは、共有クラウドセキュリティモデルが十分に理解されておらず、クラウドサービスプロバイダー (CSP) またはサードパーティがセキュリティやコンプライアンスに対応してくれるだろうとユーザーが思い込むことによって起こります。

クラウドセキュリティのギャップが存在していると、攻撃者がそれを悪用してシステムを侵害し、データを盗難し、サービスを中断させる可能性があります。 定期的にクラウドセキュリティ評価を行い、自動化されたクラウドセキュリティツールがあれば、クラウドの脆弱性を検出して修正し、侵害を先行的に防ぐことができます。

クラウドの脆弱性は、オンプレミスの脆弱性とどのように異なりますか?

静的なオンプレミスのシステムやソフトウェアとは異なり、クラウドでは設定、インスタンス、サービスの頻繁な変更が行われることが少なくありません。 そのため、定期的な手動のスキャンなどの従来の脆弱性管理手法がクラウドでは不十分になります。

クラウドの脆弱性はどのように防ぐことができますか?

クラウドの脆弱性を防ぐには、事前対策型でリスクベースのアプローチを採用します。具体的には、 クラウドリソースの安全な設定の確保、定期的なパッチ適用、最小権限アクセスの適用などのベストプラクティスを導入します。

また、自動化されたクラウドセキュリティツールを使用して、設定ミスや脆弱性がないか継続的に監視します。 多要素認証 (MFA) の導入や、クラウドセキュリティポスチャー管理 (CSPM) ツールの利用も、クラウドのセキュリティ確保に役立ちます。

クラウド脆弱性管理に最適なツールはどれですか?

使用する脆弱性管理ツールは、クラウド環境全体にわたって可視性、継続的な監視、自動化された修正を提供するものでなくてはなりません。

たとえば Tenable Vulnerability Management は、マルチクラウド環境とハイブリッド環境向けの包括的な脆弱性管理を提供します。 リアルタイムで資産をスキャンし、設定ミスを検出して、リスクに基づいて修正作業に優先順位を付けるための文脈を提供します。

クラウドネイティブな API との統合、詳細なレポート、コンプライアンスチェックなどの機能によって、脆弱性を早い段階で確実に検出し、 手順が示された修正戦略によってアタックサーフェスを削減し、コンプライアンスを確保します。

9. AI 環境の脆弱性管理

---

AI のアプリケーションやサービスは、新しい、複雑なセキュリティリスクを生み出します。攻撃者がデータを操作し、AI モデルを欺いて不正確な出力を生成させて実行する、敵対的な攻撃も含まれます。

AI のセキュリティ攻撃は機械学習モデルをゆがめることがあり、予測できない動きをします。

さらに、クラウドインフラに統合された AI システムでは、新たなエクスポージャーを生み出す設定ミス、安全でない API、ソフトウェアの陳腐化が生じる可能性があります。 これらのリスクは重大な攻撃経路になるため、AI を活用したアプリケーションには、継続的なスキャンとリアルタイムの脅威検出が必要になります。 定期的なパッチ適用と更新も、こうしたリスクを軽減するためには不可欠です。

AI 環境の主な脆弱性は何ですか?

• 悪質なデータによるデータポイズニングで AI モデルの予測がゆがめられる
• アルゴリズム操作
• 設定ミス
• 安全でない API

AI システムの脆弱性をどのように管理しますか?

AI システムの脆弱性を管理するには、これらの環境を継続的に監視する脆弱性管理ツールを使用します。 また、リスク評価を実施し、AI のセキュリティ問題を発見します。

生成 AI 環境には複雑なインフラが含まれているため、従来の脆弱性管理手法では効果がありません。 Tenable のソリューションには、脆弱性の特定と修正を行って AI のセキュリティエクスポージャーに対処できるよう、AI 開発パイプライン、インフラの設定ミス、データの整合性を監視する機能が含まれています。

AI はどのように脆弱性管理に影響しますか?

AI システムでは、脅威インテリジェスに基づいた脆弱性スキャン、リスクの優先順位付け、修正の提案を自動化できます。 しかし、こうした機能が攻撃に悪用されないように安全を確保しなくてはなりません。

AI を活用してセキュリティ制御を強化すればセキュリティ対策の効率を高められますが、AI モデルとインフラの保護には十分な注意が必要です。

課題

• AI システムはアーキテクチャやアルゴリズムが入り組んでおり複雑であるため、脆弱性の特定と評価が困難
• データの機密性
• 新しく、進化を続ける AI の脅威環境
• 統合の問題と盲点

解決の糸口

• 強化された、より効率的な脅威検出
• 修正の自動化によって一貫性を実現することでヒューマンエラーを減らし、手作業が介在する場合に生じる時間とリソースを削減
• 履歴データから学習するなどのデータ分析機能が増強された、より効果的なリスク評価
• 脅威を予測して修正する学習機能を備えた、事前対策型のセキュリティ制御

どのような AI 脆弱性管理ツールが利用できますか?

Tenable Vulnerability Management などの AI ツールは、AI 環境の脆弱性管理のための包括的なソリューションを提供します。 これには API のセキュリティ評価や機械学習のリスクの分析などが含まれています。 Tenable は、開発からデプロイメントまで、AI ライフサイクル全体にわたって脆弱性の管理を支援します。

Tenable AI Aware とは何ですか?

Tenable AI Aware は、AI 環境と大規模言語モデル (LLM) を保護します。

AI Aware は、AI モデル固有の脆弱性を先行的に特定して修正することで、モデル操作、データポイズニング、安全でない統合などのリスクに対処します。 AI 開発ワークフローとの統合によって、トレーニングからデプロイメントまで、継続的な監視、リスク評価、自動修正が提供され、従来の脅威や AI 特有の脅威からの包括的な保護を実現します。

10. 脆弱性とリスクの管理

---

脆弱性管理とリスク管理は密接に関連しています。 脆弱性管理は、アタックサーフェス全体のセキュリティ上の弱点の特定、評価、優先順位付け、軽減に重点を置きます。 リスク管理は、これらの脆弱性が事業運営に及ぼす影響を評価します。

脆弱性が事業目標にどのように影響するかを把握し、セキュリティに対する取り組みを組織の目標と整合させることで、最も差し迫ったセキュリティ問題に素早く対処できるよう、リソースを割り当てることができます。

効果的なリスク管理では、脆弱性管理で得られるインサイトを利用します。 潜在的な脆弱性の影響を把握することは、脅威によるエクスポージャーを最小限にする戦略の策定に役立ちます。

以上により、事前対策型のセキュリティ態勢が強化され、新たな脅威に基づいて将来の脆弱性を予測できます。

脆弱性管理におけるベンチマーキングとは何ですか?

脆弱性管理におけるベンチマーキングでは、セキュリティ態勢を業界標準やベストプラクティス、競合他社と比較します。 これは測定可能な改善目標の設定に役立ちます。

データ分析、報告、ベンチマーキングの機能を備えた脆弱性管理ソリューションを使用すると、プログラムの効果や投資収益率 (ROI) についての有益なインサイトが得られます。

ベンチマーキングは、経時的に進捗を追跡するための主要業績評価指標 (KPI) の設定にも役立ちます。 検出された脆弱性の数、修正にかかる時間、軽減策の効果といったメトリクスを分析することで、データ主導型の意思決定を行ってリスク管理のプロセスを改善できます。

脆弱性管理の分析とレポート

脆弱性管理での分析とレポートを通して、脆弱性の状況についてより深いインサイトを得ることができます。 脆弱性管理のレポート作成ツールを使うと、検出結果や戦略をステークホルダーに伝達してプログラムに対する支持を固めやすくなります。包括的なレポート作成は、コンプライアンスにも役立ちます。

脆弱性管理を用いて図るサイバーリスクとビジネスリスクの整合性

サイバーリスクをビジネス上のリスクの整合させることは、脆弱性管理の欠かせない要素です。 脆弱性が重要業務にどのような影響を及ぼすのかを把握することで、財務や運営に及ぶ可能性のある影響に基づいて修正を優先順位付けできます。

このようなリスクベースのアプローチでは、単なる深刻度スコアに基づいたエクスポージャーへの対処ではなく、目標達成に最大の脅威をもたらす脆弱性の優先順位付けが促進されます。

脆弱性管理を事業リスクの文脈に当てはめて構成することで、レジリエンスを強化してリスクを削減できます。

セキュリティ担当者がステークホルダーの賛同やサポートを得るためには

従来、セキュリティチームと経営幹部や取締役会のような主要なステークホルダーは、それぞれ異なる用語や表現を使ってセキュリティについて話していました。 脆弱性管理はそのようなコミュニケーションの障壁を打ち砕き、セキュリティ担当者がステークホルダーの賛同を得られるよう支援します。

運営や財務への潜在的な脆弱性の影響を数値などで効果的に明示することで、技術者でなければ理解できない技術用語にこだわることなく、先行的なセキュリティ対策の重要性を明確に表すことができるようになります。

データ主導型のセキュリティインサイトやメトリクスとビジネス目標の整合性が図られていると、未対処の脆弱性に関連するリスクを強調し、サイバーセキュリティの取り組みに向けた継続したサポートや投資の必要性を強力にアピールすることができます。

ステークホルダーを脆弱性管理プロセスに巻き込むことで、当事者意識や責任感も育まれます。 ステークホルダーが脆弱性がいかに重大かを理解し、現在行われているセキュリティ対策について認識するようになれば、サポートやリソースを提供しようという姿勢が強まります。

11.脆弱性管理ソリューション

---

脆弱性管理はなぜ必要なのですか?

アタックサーフェスには、数百もの潜在的な攻撃経路、数えきれないほどの資産、複雑な業務環境があります。 そのため、セキュリティチームはすべての脆弱性にパッチを適用して修正することができません。 しかし、攻撃者はこうした弱点を悪用する方法を積極的に探しています。

National Vulnerability Database (NVD) には 26 万 5,000 件以上の CVE が登録されていますが、これらの脆弱性のうち攻撃者によって実際に悪用されるものはごく少数です。 しかしながら、攻撃者はあらゆるセキュリティの弱点をいつでも標的にすることが可能です。

組織は通常、「高」や「重大」と評価された脆弱性に最も注意を払いますが、攻撃者は CVE のスコアは問題にしていません。彼らは脆弱性がどこにあろうと、最も簡単に悪用する方法を探しているのです。

適切な脆弱性管理ソリューションを選択する方法

脆弱性管理ソリューションの選定に際しては、組織ごとに異なるニーズが存在します。しかし、以下のような、すべての業界に共通した中核となる考慮事項も何点かあります。

1. 資産の継続的な検出

企業向け脆弱性ソリューションには、継続的な資産検出やアタックサーフェスの完全な可視化など、包括的なカバレッジが必要です。

以下の機能を備えたソリューションをご検討ください。

• ネットワークスキャナー
• ノートパソコンやモバイルデバイスなど、ネットワークから頻繁に切断されるエンドポイントのためのエージェント
• 資産や脆弱性を継続的に検出するパッシブネットワーク監視
• クラウドコネクタと、クラウドインスタンスの監視と評価を行う事前認証されたクラウドスキャナー
• 導入前の静的コンテナイメージ用のイメージスキャナー
• ウェブアプリケーションスキャナー
• クラウド、CMDB、CI/CD、チケッティングや SOAR などのテクノロジーとの統合

2. 静的スキャンだけではない評価機能

資産を評価するには、スキャンだけでは不十分です。 脆弱性管理ソリューションには、セキュリティの問題を特定するためのデータの収集と評価の機能が必要です。

以下の機能を備えたソリューションをご検討ください。

• 開発者ワークフローとの統合が可能な、導入前のコンテナ評価
• API ベースの可視性を備えたクラウドワークロードの評価ニーズへの対応
• システムの性能と可用性に影響を与えない IT デバイスと OT デバイスのパッシブ検出

3. 高度な優先順位付け

企業向けの脆弱性管理プラットフォームでは、機械学習と AI を使用して脆弱性データを合成する必要があります。これらのツールによって盲点や隠れたパターンを検出できるようになり、企業のリスクに対する理解が深まります。

以下の機能を備えたソリューションをご検討ください。

• 脆弱性を優先度付け
• 優先順位付けのためのデータ入力
• 業界をリードする研究とデータ専門チームによる支援
• スケーラブルで自動的な資産のスコア付け

4. 自動化されたレポート作成機能とベンチマーク指標

脆弱性管理ソリューションは、基本的なニーズに対応できるレポート作成機能を標準装備している必要があります。 統合とレポート作成の自動化に対応した強力な API を備えたソリューションをお探しください。

レポートのカスタマイズ機能を使用して、チームのニーズ、ビジネス目標、コンプライアンス要件に合わせたレポートを作成すると、プログラムの伝達を改善できます。

併せて、ベンチマーク指標を確認できる脆弱性管理ツールを選択することもご検討ください。 これによってチームは、社内や競合他社との比較でプログラムの成功を評価できるようになります。

5. シンプルな価格設定とライセンス

脆弱性管理ソリューションの価格設定は、シンプルでわかりやすいものでなければなりません。 API や脅威インテリジェスの利用にペナルティが設定されていないライセンスモデルを採用しているベンダーを選択してください。

6. スケーラビリティ

脆弱性管理ソリューションは、組織の成長や経時的な変化に応じて柔軟に調整、拡張できるものでなければなりません。 組織に合わせて適応するソリューションを選択する必要があります。

12.脆弱性管理のベストプラクティス

---

攻撃者はさまざまな方法でアタックサーフェス内の弱点を悪用します。 たった一度のセキュリティ侵害でも、企業に破壊的な影響を与えることもあります。 ここに脆弱性管理プログラムのベストプラクティスをいくつかご紹介します。

資産の特定と管理

まず、環境全体 (オンプレミスとクラウド) のすべての資産を特定します。

次に、各資産について以下を明らかにします。

• どこにあるのか
• どのように使用するのか
• 管理責任者はだれなのか
• 事業運営にとってどの程度の重要性があるか

続いて、資産についてアタックサーフェス内の他の資産との関係性や依存関係を追跡して記録します。 攻撃者が資産の 1 つを侵害しただけでも、さらなる悪用が可能になる経路が開かれる可能性があります。 重要ではないと判断された資産でも、組織を危険にさらす相互依存関係がないか確認してください。

多くの組織は、アクセスポイントとしての Active Directory (AD) を見落としています。必ず AD を脆弱性管理プロセスに入れるようにしてください。

また、各デバイスのネットワークへの接続時と切断時にも評価を行う必要があります。 そのために必要なインサイトは、以下を通して得ることができます。

• ネットワークアクセスコントロールシステム
• DHCP ログと DNS サーバーログの確認
• デバイスへの脆弱性スキャンエージェントのインストール
• 定期的なスキャン

脆弱性の特定

資産についてのインサイトを取得したら、各資産の脆弱性を評価して、個々のセキュリティ問題の深刻度やリスクなども把握します。

攻撃者にとっての各脆弱性の悪用の難易度と可能性について詳しく調査します。 起こりうる関連被害は何でしょうか? 重大度を把握すると、各セキュリティ問題を軽減、修正する方法に優先順位を付けられるようになります。

継続的な脆弱性管理

脆弱性管理は従来、定期的なポイントインタイムの脆弱性検出や評価スキャンに依存していました。 セキュリティ態勢を成熟させるには、アタックサーフェスを継続的にスキャンすることで、リスクを修正し、攻撃が発生する可能性を低減させる必要があります。

継続的なスキャンを実行すると、手動で行うスキャンとスキャンの間に潜む盲点が明らかになり、いつでも起こりうる、新たなセキュリティ問題を発見できます。 スキャンの頻度を上げて定期的に修正を行えば、各スキャンで検出される脆弱性の数が減るかもしれません。

リスク評価

アタックサーフェス全体には、セキュリティレベルがそれぞれ異なるさまざまな資産が多数存在していることが想定されるので、個々の資産のセキュリティレベルを判定する必要があります。 資産の価値やエクスポージャーレベルを判定すると、その資産を保護するために何をするべきかがより詳しく理解できるようになります。

変更管理

ネットワーク上のデバイスは頻繁に変更されます。 その変更によって、新たなセキュリティ問題が発生します。 変更があったときに即座に検出して対処できるプロセスを策定します。 変更は、アプリケーションの更新、ハードウェアの追加、インフラの変更、ソフトウェアの更新などが行われたときに発生する可能性があります。

効果的な変更管理を行うと、業務上のベストプラクティスに基づいて新たなセキュリティ問題に素早く取り組んで対処できるようになります。

パッチ管理

従来の脆弱性スキャンでは検出される脆弱性の量が多いため、長時間のダウンタイムや中断なしに効果的にパッチを展開するのは困難です。 パッチとリリース管理のプロセスを統合して、重大な資産に対するタイムリーなパッチ適用を実現できる脆弱性管理プログラムを導入します。

更新とパッチ適用の一貫性を確保するために、パッチ管理プロセスを変更管理プロセスと統合します。

モバイルデバイス

モバイルデバイスは、アタックサーフェスのかなりの部分を占めていると考えられます。 ユーザーには柔軟性をもたらしますが、 セキュリティリスクの増加に繋がります。

組織が従業員に企業支給のデバイスの代わりに私物端末の業務利用 (BYOD) を許可している場合、セキュリティの問題は悪化します。 その場合は、モバイルデバイス管理 (MDM) システムの採用やモバイルデバイスへのエージェントの導入を選択肢として検討することが推奨されます。

軽減策の管理

利用可能なパッチや修正が存在しない脆弱性が存在することがあります。適切に対処できるようになるまで、それら脆弱性を管理する別の方法を脆弱性管理プログラムで利用できるようにする必要があります。効果的なアプローチとしては、ログ監視の強化、IDS 攻撃シグネチャの更新、ファイヤーウォールのルール変更などが挙げられます。

インシデントへの対応

セキュリティインシデントへの迅速な対応は、脆弱性管理の効果をよく表す尺度です。 対応が早ければ早いほど、事業への影響が小さくなる可能性は高まります。

インシデント対応とは、単なる侵害への対応を指すのではありません。 事前対策型のアプローチを導入して、常に準備万端な状態にしておくことも必要です。 継続的なセキュリティ監視、プロセスの自動化、アラートの通知は、即応性の高さにつながります。

オートメーション

自動化によって、アタックサーフェス全体の脆弱性を迅速かつ正確に検出、評価、修正できるようになります。 これは特に、アタックサーフェス全体で絶えずデータフローが発生している大規模なシステムに当てはまります。 自動化を行うと、より短時間でデータを処理でき、エラーの数も減少します。

13.脆弱性管理システムを実施する方法

---

成熟した脆弱性管理プログラムは、サイバーエクスポージャー管理の基盤です。 その導入によって、セキュリティチームは、セキュリティ上の弱点を攻撃者に悪用される前により効果的に特定、優先順位付け、修正できるようになります。

リスクベースの脆弱性管理プログラムを構築するための 5 つのステップを以下に示します。

ステップ 1: オンプレミスとクラウドの全資産のインベントリ作成

効果的な脆弱性管理には、完全かつ正確な資産インベントリが不可欠です。 このインベントリには、アタックサーフェス全体のすべてのデバイス、アプリケーション、オペレーティングシステム、クラウドインフラが含まれます。 Tenable は堅牢な資産検出ツールを提供していますが、 そのようなツールによってアタックサーフェス全体が包括的に可視化されるため、重要なシステムを見落とすことがなくなります。

ステップ2: 脆弱性の継続的なスキャンと評価

継続的な脆弱性スキャンを実行して環境内のセキュリティ上の弱点を特定します。 Tenable は、エージェントベース、エージェントレス、クラウドネイティブのソリューションなどの、幅広いスキャンオプションを提供しています。 これらのスキャンは基本的な検出にとどまらず、 エクスプロイトの深刻度、パッチの可用性、事業への潜在的な影響などの、脆弱性に関する詳細な情報も提供するため、修正作業に優先順位を付けられるようになります。

ステップ 3: リスクベースの優先順位付けへのフォーカス

総合的な脆弱性管理プログラムではリスクベースの優先順位付けが活用されているため、チームは最も重大な脅威に注力できるようになります。 Tenable は業界標準のリスクスコアフレームワークと統合しているので、各脆弱性による影響を把握できます。 そこから、事業リスクに基づいて修正作業に優先順位を付けることができ、最も重大な脆弱性にまず対処できるようになり、サイバーエクスポージャー管理が最適化されます。

ステップ 4: パッチ管理とレポート作成の合理化

Tenable は、パッチ管理プロセスを簡素化して脆弱性の修正を合理化し、重大なセキュリティ問題に対するタイムリーなパッチ適用を確実に実現します。 Tenable の包括的なレポート作成機能がその進捗を追跡します。 さらにプログラムの効果を測定できるほか、主要なステークホルダーに対して、それぞれが理解できるビジネス用語を使用してコンプライアンスを証明することもできます。

ステップ 5: セキュリティを意識する文化の構築

脆弱性管理は、一度設定したらそれで終わりという活動ではありません。 成熟したセキュリティ態勢を維持するには、脆弱性の継続的な監視、プログラムの調整のほか、従業員、ベンダー、ステークホルダーのトレーニングや教育が不可欠です。 Tenable の高度な分析ツールは、傾向の見定めや、脆弱性管理戦略の継続的な改善に役立ちます。

Tenable を利用すれば、サイバー脅威からデータと資産を保護する、成熟した脆弱性管理プログラムを策定することができます。

方法を見る