1. 脆弱性管理とは?
脆弱性管理は、組織全体のセキュリティ上の弱点を特定、優先順位付け、修正するためのテクノロジー、ツール、ポリシー、手順によって構成された、 セキュリティチームが侵害やサイバー攻撃が発生する可能性を低減させるのに役立つ、事前対策型のプロセスです。 リスクベースのアプローチにより、サイバーセキュリティリスク管理プログラムを組織運営の目標や目的と整合させることもできます。
脆弱性管理の目標は、迅速かつ効果的にエクスポージャーを低減させ、オンプレミスとクラウドのアタックサーフェスを侵害から守ることです。
適切な脆弱性管理ソリューションを使用すると、常に変化するアタックサーフェスの包括的な可視化によって、環境を継続的に監視し、時とともに変化する脅威に後れを取らずに対応できるようになります。
脆弱性などのセキュリティ上のエクスポージャーを管理するための成熟したプログラムは、侵害やサイバー攻撃のリスクを低減して運用上のレジリエンスを確保するための鍵となります。
脆弱性管理には、以下の 4 つの主要な段階があります。
- オンプレミスとクラウドのすべての環境にわたって資産と脆弱性を特定する
- 脅威インテリジェンス、組織のリスクプロファイル、攻撃者が近いうちに悪用する可能性が最も高い脆弱性がどれかに基づいて、重大なエクスポージャーの脆弱性の修正作業を優先順位付けする
- セキュリティ問題を解決する
- 継続的な監視、報告、プログラムの改善を行う
リスク重視の脆弱性管理プログラムを策定することで、従来の脆弱性管理ツールでは見逃されるセキュリティ上の弱点を把握、可視化、解決して組織を保護することができます。
従来の IT システムだけでなく、次のものも対象となります。
- クラウドシステムとサービス
- モバイルデバイス
- コンテナまたはサーバーレス機能
- ウェブアプリケーション
- オペレーショナルテクノロジー (OT)
どのサイバー脅威環境もその組織固有なものですが、主な脆弱性には以下の 4 つの種類があります。
- オペレーティングシステムとアプリケーション
- ネットワーク
- 設定ミスとプロセスベース
- 人的要因
脆弱性の例
- システム、ネットワーク、アプリケーションの設定ミス
- パッチ未適用または古いオペレーティングシステムやソフトウェア
- オープンポートや使用されていないサービス
- 無効な、または不備のある認証
- SQL インジェクション
- クロスサイトスクリプティング (XSS)
最も一般的な脆弱性は何ですか?
OWASP Foundation は、OWASP Top 10 脆弱性リストを積極的に更新しています。 前回の一般的な脆弱性のリストは以下のとおりです。
- アクセス制御の不備
- 暗号化機能の不備
- インジェクション
- 安全でない設計
- セキュリティの設定ミス
- 脆弱で古いコンポーネント
- 識別や認証機能の不備
- ソフトウェアとデータの整合性の障害
- セキュリティのロギングと監視の不備
- サーバーサイド リクエストフォージェリ (SSRF)
脆弱性管理では具体的に何が行われますか? 脆弱性管理の 5 つのステップとは?
脆弱性管理ライフサイクルは次のとおりです。
ステップ 1: 検出
オンプレミスとクラウドのすべてのコンピューティング環境にわたって全資産を特定してマッピングし、脆弱性やその他のエクスポージャーをスキャンします。
ステップ 2: 管理
脆弱性、設定ミス、その他のセキュリティの健全性指標を含む、資産の重要度とリスクを把握します。
ステップ 3: 優先順位付け
文脈を踏まえてエクスポージャーを把握したうえで、資産の重要度、脆弱性の深刻度、自組織の環境、脅威の文脈に基づいて修正作業を優先順位付けします。
ステップ 4: 修正
事業リスクに基づいて、どのエクスポージャーに最初に対処すべきか優先順位付けします。 そして、適切な業界のベストプラクティスを使用して修正を行います。
ステップ 5: 測定
エクスポージャーを測定して社内や競合他社との比較でベンチマーキングを行い、セキュリティチームが業務およびサイバーリスクに関して、より情報に基づいた意思決定を行い、リスクの削減、コンプライアンス、プログラムの成熟を推進できるようにします。
脆弱性管理と脆弱性評価の違い
脆弱性管理と脆弱性評価は異なりますが、並行して使用します。これらの用語はしばしば同じ意味で使用されますが、区別が必要です。
サイバーセキュリティ脆弱性管理は、アタックサーフェス全体の資産と脆弱性を特定します。 セキュリティ問題を軽減し、脆弱性に優先順位を付けて修正するための戦略を策定することに役立ちます。
これは、開始と終了の日付が設定されている脆弱性スキャンとは異なります。 脆弱性の分析は、アタックサーフェスのポイントインタイムのスナップショットで、 脆弱性管理プログラム全体の中の一部であり、サイバーリスクを継続的に特定して対処する手助けとなるものです。
リスクベースの脆弱性管理とは何ですか?
リスクベースの脆弱性管理は、アタックサーフェスを包括的に可視化し、どのセキュリティ問題が最も深刻なリスクをもたらすかを確認できるようにします。
攻撃者が近いうちに悪用する可能性が最も高い深刻な脆弱性やその潜在的な影響を把握できるようになると、より効果的にエクスポージャーを軽減して修正し、リスクを削減することができます。
AI と機械学習によってリスクベースの脆弱性管理の手法が強化され、単なる脆弱性の検出を超えた機能が提供されます。 目標は、事業への影響についてのインサイトを含む脅威の文脈を使用して、リスクを把握することです。
脆弱性管理とリスクベースの脆弱性管理との違い
従来の脆弱性管理手法は、脆弱性とリスクを俯瞰的に可視化し、 脆弱性によってもたらされる可能性のある脅威を発見します。 しかし、従来のプロセスでは、脅威環境についての真のインサイトを得ることができません。
チームが文脈を踏まえてリスクを理解していなければ、脅威とならない脆弱性のために時間を無駄にしてしまい、組織に悪影響を及ぼす可能性が高いリスクのある脆弱性の発見と修正ができなくなる可能性があります。
脆弱性管理のメリットは何ですか?
- 脆弱性の脅威の文脈が提供される
- 最小限の労力でリスクを最大限に削減できるようチームの力が強化される
- アタックサーフェス全体にわたり、すべての脆弱性が包括的に可視化される
- サイバーリスクがビジネスリスクと整合されることで、業務やサイバーリスクに関して、より情報に基づいた意思決定を行えるようになる
- プログラムの成功を示すベンチマーキングと報告ができる
- 主要なステークホルダーにビジネスの文脈を踏まえてサイバーリスクを伝達するのに役立つ
- 事後対応型のセキュリティ対策が削減される
- 従来の脆弱性管理プロセスによって生み出された盲点がなくなる
- 組織に最も重大なリスクをもたらす 3% の脆弱性に重点を置けるようになる
脆弱性管理の一般的な課題は何ですか?
脆弱性が多すぎる
- 従来の IT、IoT、IIoT、ウェブアプリ、クラウドインフラやクラウドサービス、仮想マシンなど、導入するテクノロジーの数と種類が増えるにつれて、脆弱性やその他のセキュリティ問題も飛躍的に増加します。
- リスクベースのソリューション: 固有の環境に対する実際のリスクや業務への影響に基づいて脆弱性を優先順位付けし、どのエクスポージャーに最初に対応するかを把握できるようにします。
優先順位付けに必要な脅威の文脈情報の欠如
- 多くの脆弱性管理ツールは、脆弱性の検出は行うものの、エクスプロイトの可能性については文脈情報を提供せず、脅威インテリジェンスも備えていません。 事業に影響を及ぼさない多くの脆弱性を高または重大とランク付けしてしまいます。
- リスクベースのソリューション: AI、機械学習、その他 Tenable Research などの業界で信頼されている脅威インテリジェンスを使用して、ACR (資産重大度の格付け) や脅威の文脈を把握したうえでエクスポージャーの修正を優先順位付けします。
資産の追跡と、資産のあらゆるリスクについてのインサイトが不十分
- アタックサーフェスが拡大し、その複雑性も増しているため、ほとんどのセキュリティチーム、特に断片的なサイバーセキュリティ管理ツールを使用しているチームは、すべての資産とセキュリティエクスポージャーを完全に可視化することができません。
- リスクベースのソリューション: 自動化ツールやその他のリスク認識型ツールを使用してあらゆる資産を把握します。非常に高速で起動する短寿命な資産も捉えます。
パッチ管理
- パッチの適用作業は容易ではありません。 一部のパッチはシステムに悪影響を及ぼし、予期せぬダウンタイムや中断を招きます。
- リスクベースのソリューション: エクスプロイトの可能性やビジネスへの影響についてのインサイトを用いて、どの脆弱性を最初に修正してどの脆弱性へのパッチ適用を後回しにするのかについての計画を立てることができます。
限られたリソース
- サイバーセキュリティは数百万のポストが埋まらない人材不足の状態にあり、この問題はクラウドセキュリティ担当者に対するニーズの高まりによって悪化しています。
- リスクベースのソリューション: リスクや脅威の文脈に焦点を当てた自動化、AI、機械学習のツールによって、より少ないリソースと費用で、効果的で実行可能な修正判断をより迅速に行えるようになります。
マネージド脆弱性管理サービスとは何ですか?
マネージド脆弱性管理サービスとは、組織がサードパーティのマネージドセキュリティサービスプロバイダー (MSSP) に外部委託する、以下のようなサイバーエクスポージャー管理を指します。
- 継続的な脆弱性スキャン
- リスクの特定、優先順位付け、修正
- 修正プロセスとガイダンス
- メトリクス、文書化、レポート作成
以下の場合、脆弱性管理を外部委託する必要があるかもしれません。
- 組織内のリソースや予算が限られている
- 従来の IT、OT、マルチクラウドまたはハイブリッドクラウドが混在する複雑な運用環境
- 急速な脅威状況の変化についていけない