リスクベースの脆弱性管理 : 脅威の状況とビジネスへの影響の観点からの脆弱性リスクの把握

従来の脆弱性管理からリスクベースの脆弱性管理へ

従来の脆弱性管理ソリューションは、現代のアタックサーフェスとその拡大に伴う脅威の増大に対処できるようには設計されていません。

アタックサーフェスは、もはや従来の IT 資産だけではありません。 モバイルデバイス、ウェブアプリケーション、クラウドインフラ、コンテナ、IoT (モノのインターネット) デバイス、オペレーショナルテクノロジー(OT) などの資産も含まれます。

従来の脆弱性管理ツールは、このような最新のネットワークのアタックサーフェス全体のすべてのデバイスについて包括的かつタイムリーなインサイトを提供できません。 そのため、従来の脆弱性管理ツールでは盲点が残り、エクスポージャーのリスクが増加します。

従来のツールでは、脆弱性の潜在的リスクについて理論的な視点しか提供できないため、セキュリティチームは実際には深刻ではない脆弱性の対応に時間を取られ、企業にとって最もリスクの高い深刻な脆弱性の多くを見逃してしまう恐れがあります。

さらに問題となるのは、従来の脆弱性管理プロセスでは大量の脆弱性データが返されることです。 最初に修正すべき脆弱性をどのように判断しますか? 企業にとって最大の脅威をもたらす脆弱性をどのように把握しますか?

リスクベースの脆弱性管理は憶測を排除します。

リスクベースの脆弱性管理を採用すれば、セキュリティチームは最も重要な脆弱性や資産の管理に集中できます。悪用される可能性の低い脆弱性の対処に必要以上の時間をかける必要もなくなり、真に重要なビジネスリスクに対応できるようになります。

リスクベースの脆弱性管理を初めて使用される場合は、この比較ガイドをご覧ください。 このガイドでは、従来の脆弱性管理とリスクベースの脆弱性管理の違いの詳細、さらにリスクベースのアプローチによる脆弱性管理プログラムの効率向上に関する知見をご確認いただけます。

予測に基づいた優先順位付け: 企業にとっての最大のリスクに焦点を置くデータサイエンス

あらゆる規模の企業が、すでに自社のネットワークに存在している膨大な数の脆弱性に圧倒されています。しかもその数は、現代のネットワークの拡大と多様化に伴って急速に増加しています。

アタックサーフェスは動的に拡大し続け、脆弱性の増加も止まりません。従来の脆弱性管理ソリューションでは対応できなくなっています。

Tenable の予測に基づいた優先順位付け機能 は、即時対応が必要と判断される脆弱性を 97% 削減することで、サイバーリスクの管理プロセスを向上します。

予測に基づいた優先順位付け機能では、機械学習を使用して、近い将来に企業に大きなリスクをもたらす比較的少数の脆弱性を特定します。 この機能により、すべての資産タイプに関連するすべての既知の脆弱性を含め、絶えず変化するアタックサーフェスについての包括的なリアルタイムの洞察を得られます。

このレポートでは、予測に基づいた優先順位付け機能とその仕組みの詳細のほかに、次の内容についても説明しています。

• CVSS (共通脆弱性スコアシステム) のスコアでは実現できない予測に基づいた優先順位付けによって、最も重要な 3% の脆弱性に集中する方法
• 予測に基づいた優先順位付けの仕組み (処理原則を含む) に関する知見
• 予測に基づいた優先順位付けが他の優先順位付けプロセスよりも正確である理由

従来の脆弱性管理では対応できない 5 つの理由

現代のアタックサーフェスは複雑です。 かつてないほど資産タイプが増え、脆弱性の数も増え続けています。 昨年だけでも 17,000 件以上の新たな脆弱性が公開され、多くの企業が過去 2 年以内にサイバー攻撃による損害を受けたと報告しています。

しかし、従来の脆弱性管理手法を使用している限り、ますます増加する攻撃のリスクにさらされる危険があります。

なぜなら、従来の脆弱性管理では、重大な資産を含むアタックサーフェス全体についての詳細な洞察を得るために必要となる、包括的な可視性が提供できないからです。

このインフォグラフィックでは、従来の脆弱性管理では対応できない主な理由について詳しく説明しています。

• リスクベースの脆弱性管理と従来の脆弱性管理との相違点
• リスクベースの脆弱性管理の仕組み
• リスクベースの脆弱性管理を導入するメリット