リスクベースの脆弱性管理 : 脅威の状況とビジネスへの影響の観点からの脆弱性リスクの把握
リスクベースの脆弱性管理に関するワンストップのナレッジベース
リスクベースの脆弱性管理 (RBVM) は、企業のセキュリティリスクに基づいて修正の優先順位を付けて、アタックサーフェス全体の脆弱性を軽減するプロセスです。
従来の脆弱性管理とは異なり、リスクベースの脆弱性管理は脆弱性を検出するだけではなく、脅威状況とともに脆弱性が及ぼすリスクを把握して、ビジネスへの潜在的影響に対するインサイトを得るのに役立ちます。
リスクベースの脆弱性管理では機械学習を活用して、資産の重大度、脆弱性の深刻度、攻撃者の活動を関連付けることができます。 膨大な数の脆弱性の中から、企業にとって最もリスクの高い比較的少数の脆弱性を見極めて集中することができます。
リスクベースのアプローチで脆弱性管理プログラムをサポート
- クラウド、オペレーショナルテクノロジー (OT)、IoT、サーバーレス、コンテナなどの最新の資産タイプを含む、アタックサーフェスの包括的な可視化
- 機械学習を活用した脆弱性の優先順位付けにより、攻撃者が近い将来に悪用する可能性が高い脆弱性を判断
- 資産の重大度評価を始めとする、あらゆる資産と脆弱性の動的かつ継続的な評価を実現
企業にとってリスクの高い脆弱性についての洞察を得る
リスクベースの脆弱性管理に関するナレッジベースでは、以下のような情報が得られます。
従来の脆弱性管理からリスクベースの脆弱性管理へ
従来の脆弱性管理ソリューションは、現代のアタックサーフェスとその拡大に伴う脅威の増大に対処できるようには設計されていません。
アタックサーフェスは、もはや従来の IT 資産だけではありません。 モバイルデバイス、ウェブアプリケーション、クラウドインフラ、コンテナ、IoT (モノのインターネット) デバイス、オペレーショナルテクノロジー(OT) などの資産も含まれます。
従来の脆弱性管理ツールは、このような最新のネットワークのアタックサーフェス全体のすべてのデバイスについて包括的かつタイムリーなインサイトを提供できません。 そのため、従来の脆弱性管理ツールでは盲点が残り、エクスポージャーのリスクが増加します。
従来のツールでは、脆弱性の潜在的リスクについて理論的な視点しか提供できないため、セキュリティチームは実際には深刻ではない脆弱性の対応に時間を取られ、企業にとって最もリスクの高い深刻な脆弱性の多くを見逃してしまう恐れがあります。
さらに問題となるのは、従来の脆弱性管理プロセスでは大量の脆弱性データが返されることです。 最初に修正すべき脆弱性をどのように判断しますか? 企業にとって最大の脅威をもたらす脆弱性をどのように把握しますか?
リスクベースの脆弱性管理は憶測を排除します。
リスクベースの脆弱性管理を採用すれば、セキュリティチームは最も重要な脆弱性や資産の管理に集中できます。悪用される可能性の低い脆弱性の対処に必要以上の時間をかける必要もなくなり、真に重要なビジネスリスクに対応できるようになります。
リスクベースの脆弱性管理を初めて使用される場合は、この比較ガイドをご覧ください。 このガイドでは、従来の脆弱性管理とリスクベースの脆弱性管理の違いの詳細、さらにリスクベースのアプローチによる脆弱性管理プログラムの効率向上に関する知見をご確認いただけます。
脆弱性の優先度付けについて知っておく必要がある 3 つのポイント
脆弱性は企業の規模にかかわらず急増しており、その管理は非常に困難になっています。ビジネスにとっての最大のリスクを特定して最初に修正できるようにするためには、どうすればよいでしょうか?
このホワイトペーパーでは、効果的な脆弱性修正プログラムを構築するために不可欠な、3 つの重要なステップについて説明しています。
- まず、現在活発に悪用されているすべての脆弱性を、実際のリスクを反映するものとして判別する
- 次に、統合された脅威インテリジェンスを備えたリスクベースの脆弱性管理ソリューションを使用して、出回っている既知のエクスプロイトの標的となる弱点に対処する
- 最後に、今後 28 日以内に攻撃者に悪用される可能性の高い脆弱性を修正する
Tenable が保有する 4.5 ペタバイト超のデータと 8 種類の外部データソースを活用した独自のリサーチに基づき、Tenable の予測に基づいた優先順位付けは、機械学習と予測分析を駆使して、脆弱性が攻撃者に悪用される可能性を可視化します。
上記の 3 つのステップの他に、次の内容についても説明しています。
- CVSS を使用した脆弱性の優先順位付けの落とし穴と短所
- 即時対応が必要と判断される脆弱性の数を減らすためにできること
- リスクに基づいた優先順位付けの方法や、最初に対処すべき脆弱性などの課題に対する推奨事項
サイバーセキュリティリスクの優先順位を付ける方法
従来の脆弱性管理プロセスによって「重要」や「緊急」と評価される脆弱性の数はあまりにも多すぎて、どれほど努力を重ねて合理化して、ツールを導入しても、そのすべてに対処することはできません。
成熟した脆弱性管理プログラムであっても、隠れた脅威はアタックサーフェスの盲点に潜んでおり、ビジネスに影響を与える可能性のある新たなリスクをすべて探し出して評価することは困難です。
また、パッチや修正プログラムによっては、システム全体のシャットダウンが必要になることもあります。この要因を加えると、修正はさらに複雑になります。
では、セキュリティチームの効率を最大化して、リスクに対して最小限の労力で最大限の効果を得られるようにするためには、どうすればよいでしょうか?
脆弱性管理プログラムに対するリスクベースのアプローチを採用すれば、企業における脆弱性の評価と修正方法が改善され、対処すべき弱点を常に把握できるようになります。
このホワイトペーパーでは、次の内容についても説明しています。
- CVSS が提供するポイントインタイムの脆弱性データの静的な可視化から、企業リスクの軽減に焦点を当てた機械学習の予測アルゴリズムによって分析を行う、脆弱性、脅威、資産の重要度のデータの動的な可視化に進化させるための方法
- 脆弱性の修正には、アタックサーフェス全体のすべての IT 資産の可視化が不可欠である理由
- 脆弱性の数ではなく、深刻度に基づいた優先順位に焦点をシフトする方法
予測に基づいた優先順位付け: 企業にとっての最大のリスクに焦点を置くデータサイエンス
あらゆる規模の企業が、すでに自社のネットワークに存在している膨大な数の脆弱性に圧倒されています。しかもその数は、現代のネットワークの拡大と多様化に伴って急速に増加しています。
アタックサーフェスは動的に拡大し続け、脆弱性の増加も止まりません。従来の脆弱性管理ソリューションでは対応できなくなっています。
Tenable の予測に基づいた優先順位付け機能 は、即時対応が必要と判断される脆弱性を 97% 削減することで、サイバーリスクの管理プロセスを向上します。
予測に基づいた優先順位付け機能では、機械学習を使用して、近い将来に企業に大きなリスクをもたらす比較的少数の脆弱性を特定します。 この機能により、すべての資産タイプに関連するすべての既知の脆弱性を含め、絶えず変化するアタックサーフェスについての包括的なリアルタイムの洞察を得られます。
このレポートでは、予測に基づいた優先順位付け機能とその仕組みの詳細のほかに、次の内容についても説明しています。
- CVSS (共通脆弱性スコアシステム) のスコアでは実現できない予測に基づいた優先順位付けによって、最も重要な 3% の脆弱性に集中する方法
- 予測に基づいた優先順位付けの仕組み (処理原則を含む) に関する知見
- 予測に基づいた優先順位付けが他の優先順位付けプロセスよりも正確である理由
従来の脆弱性管理では対応できない 5 つの理由
現代のアタックサーフェスは複雑です。 かつてないほど資産タイプが増え、脆弱性の数も増え続けています。 昨年だけでも 17,000 件以上の新たな脆弱性が公開され、多くの企業が過去 2 年以内にサイバー攻撃による損害を受けたと報告しています。
しかし、従来の脆弱性管理手法を使用している限り、ますます増加する攻撃のリスクにさらされる危険があります。
なぜなら、従来の脆弱性管理では、重大な資産を含むアタックサーフェス全体についての詳細な洞察を得るために必要となる、包括的な可視性が提供できないからです。
このインフォグラフィックでは、従来の脆弱性管理では対応できない主な理由について詳しく説明しています。
- リスクベースの脆弱性管理と従来の脆弱性管理との相違点
- リスクベースの脆弱性管理の仕組み
- リスクベースの脆弱性管理を導入するメリット
Tenable Connect Community: リスクベースの脆弱性管理を活用するためのリソース
リスクベースのアプローチによって脆弱性管理プログラムを次のレベルに引き上げたいと考えている、ほかのユーザーとの交流場所をお探しですか? Tenable Community には、リスクベースの脆弱性管理に関する専門知識を持ったユーザーが登録しています。このコミュニティに参加して、Tenable を使用してリスクベースの脆弱性管理のさまざまな目標を達成する過程で、質問、意見交換、フィードバックを行える最適な場所をご活用ください。
企業が日々直面する脆弱性の数の多さに負担を感じていませんか?
2018 年に新たに公開された脆弱性は 16,500 件でしたが、公開されているエクスプロイトが存在する脆弱性はそのわずか 7% でした。 攻撃者が使用するのは、さらに限られた少数の脆弱性です。 予測に基づいた優先順位付けは、Tenable が提供する画期的なプロセスです。高度なデータサイエンス技術を活用して、セキュリティチームが最も重要な脆弱性のみに集中できるように支援します。
続きを読む特定のサブネットでスキャンして取得した IP アドレスの Vulnerability Priority Rating (VPR) を取得することはできますか?
はい、複数の資産を設定したスキャンでは、スキャン結果に移動して [Vulnerabilities] タブをクリックすると、それぞれの資産の個別の結果を確認できます。 この結果には、その資産に関連付けられた脆弱性ごとの VPR が含まれています。 (VPR については、以下のよくあるご質問で詳細をご覧ください。)
回答を見るホスト別にリスクを受け入れる方法はありますか?
はい、レポジトリに基づいたプラグインごと (さらに資産グループ、IP、UUID (エージェント ID) のいずれかを選択可能)、または使用できるすべてのデバイスごとに、リスクを受け入れるように設定できます。 設定する場合は、プラグインの歯車をクリックして必要に応じて選択します。
回答を見るリスクベースの脆弱性管理に関するよくある質問
リスクベースの脆弱性管理について理解を深めたい場合、 または既存の脆弱性管理プログラムにリスクベースのアプローチを導入したいが、その方法について何から質問すればよいかわからない場合、 リスクベースの脆弱性管理に関するよくあるご質問をご覧になることをお勧めします。
セキュリティの脆弱性とは何ですか?
リスクベースの脆弱性管理とは何ですか?
リスクベースの脆弱性管理と従来の脆弱性管理はどのように違うのですか?
リスクベースの脆弱性管理と従来の脆弱性管理には、相違点がいくつかあります。
まず、従来の脆弱性管理では通常、デスクトップコンピューター、サービス、ネットワーク上のデバイスなど、従来のオンプレミス IT 資産のみを評価します。 このアプローチでは、モバイルデバイス、ウェブアプリケーション、クラウド環境、IoT、OT、コンテナを含むその他のアタックサーフェスが無視されるため、企業にとってリスクとなる盲点が生じます。 リスクベースの脆弱性管理では、アタックサーフェス全体の従来の資産と最新の資産を評価し、そのデータを脅威とエクスプロイトのインテリジェンス、資産重大度と組み合わせるので、それぞれの脆弱性が企業に及ぼす影響を予測できます。
これらの 2 つのアプローチは、以下の点でも異なります。
従来の脆弱性管理
- 最低限のコンプライアンス要件しか満足できない
- 脆弱性データのポイントインタイムの静的なスナップショットを提供
- 事後対応型
リスクベースの脆弱性管理
- ベストプラクティスを使用して企業全体のリスクを低減
- 資産と脆弱性の継続的かつ動的な可視化を実現
- 事前対応型かつ重要問題に絞った対応が可能
アクティブスキャンとは何ですか?
CVSS (共通脆弱性スコアシステム) スコアとは何ですか?
CVSS (共通脆弱性スコアシステム) は、脆弱性の潜在リスクを理論的な観点で評価します。 CVSS の評価は、0 (深刻度が最も低い) から 10 (深刻度が最も高い) まであります。
しかし、CVSS では、脆弱性の約 60% に「重要」または「緊急」の CVSS スコアが付けられます。ある企業にとってリスクが非常に低い脆弱性であってもスコアには関係しません。 CVSS では、実際の環境に与えるリスクは認識されず、企業の環境内のそれぞれの資産の重大度も考慮されません。 しかし、これらの情報は、修正の優先順位付けを効果的に行うためには不可欠です。
Tenable では、CVSS を補うものとして、予測に基づいた優先順位付け、ACR (資産重大度の格付け)、Vulnerability Priority Rating (VPR) を提供します。VPR は次のように定義されます。 VPR は、脅威や攻撃の範囲、脆弱性による影響、脅威のスコアについても考慮することで、リスクについての優れたインサイトを提供します。 また、詳細な分析により、最初に修正すべき上位 3% の脆弱性を決定します。
Vulnerability Priority Rating (VPR) とは何ですか?
Vulnerability Priority Rating (VPR) は、Tenable の予測に基づいた優先順位付けプロセスの結果として提供されるものです。
VPR では、Tenable やサードパーティの脆弱性と脅威のデータを含め、150 以上のデータポイントを評価します。 さらに、機械学習アルゴリズムを使用して National Vulnerability Database に登録されているすべての脆弱性 (とベンダーによって最近発表された未登録の脆弱性) を分析し、近い将来に悪用されるリスクが最も高い脆弱性を予測します。
VPR の 0 から 10 までのスコアは、修正作業の優先順位付けに役立ちます。 VPR スコアが 10 の場合は、最も深刻な脅威を示しており、優先的に修正する必要があります。
Predictive Prioritizationとは何ですか?
予測に基づいた優先順位付けでは、リスクベースのアプローチを使用して脆弱性管理を行い、攻撃者が企業に対して弱点を悪用する可能性を判断します。
予測に基づいた優先順位付けでは、資産と脅威のインテリジェンスとともに機械学習を活用し、攻撃の可能性に基づいて脆弱性の優先順位を付けます。 予測に基づいた優先順位付けでは、各脆弱性に Vulnerability Priority Rating (VPR) と呼ばれるスコアを与えます。 VPR スコアは 0 から 10 までとなっており、脅威の可能性が最も高い評価は 10 です。この評価をもとに、優先的に対処するべき弱点を判断できます。
Asset Criticality Rating (ACR) とは何ですか?
Asset Exposure Score (AES) とは何ですか?
Cyber Exposure Score (CES) とは何ですか?
CES は、企業のサイバーリスクを表します。 CES は、Vulnerability Priority Rating (VPR) と ACR (資産重大度の格付け) を組み合わせたものです。
CES の範囲は 0 (最小リスク) から 1,000 (最高リスク) で、企業におけるすべての AES (資産のエクスポージャースコア) の平均を表しています。
CES は、資産重大度とビジネス目標、ネットワーク内の各潜在的脅威の深刻度、今後 28 日以内に攻撃者がその脅威を悪用する可能性、実際の悪用の可能性に関連した脅威の状況を調査することによって、修正の優先順位付けを支援します。
CES は、脆弱性管理や脆弱性評価の達成度について、社内や競合他社との比較でのベンチマークテストを行う際にも役立ちます。
PoC (概念実証) エクスプロイトとは何ですか?
PCI ASVとは?
クラウドにおけるリスクベースの脆弱性管理
リスクベースの脆弱性管理は、オンプレミスの資産だけを対象としたプロセスではありません。 クラウド環境のすべてにも適用できます。
リスクベースのアプローチによる脆弱性管理では、すべてのクラウド資産の検出、評価、優先順位付け、修正、測定が可能になるため、成熟した脆弱性管理プログラムを構築できます。
クラウドでの仕組みは以下のとおりです。
動的な環境でクラウド資産を検出
クラウド環境の継続的な可視化は、リスクベースの脆弱性管理の基礎です。 継続的に監視することで、本番環境と開発環境で一過性の資産を見過ごすことがなくなります。
クラウドに特化した評価を実施
CIS (Center for Internet Security)、Amazon Web Services (AWS)、Microsoft Azure などのクラウドサービスプロバイダーが提供しているセキュリティのベストプラクティスや環境強化テンプレートが使用できるので、クラウド環境の監査、クラウドスタック内の脆弱性の発見、企業のクラウドのニーズに応じたさまざまなスキャンや監視の手法の導入が可能になります。
エクスポージャー状況の優先順位を付ける
リスクベースの脆弱性管理をは、クラウド環境内からインターネットに露出されている資産を把握できるので、最初に修正すべき脆弱性の優先順位付けに役立ちます。 最大のリスクとなる脅威に修正リソースを割り当てることが可能になり、また、得られた情報は DevOps チームと簡単に共有でき、SIEM (セキュリティ情報イベント管理) に自動送信することもできます。
脆弱性を修正する
脆弱性の問題は本番環境での検出だけでは解決しません。 リスクベースの脆弱性管理を CI/CD パイプラインとイメージ作成プロセスに直接統合すれば、本番前に脆弱性を修正することができます。Tenable では強力な API を使用が提供されているので、バグ追跡ツールと修正ツールとの統合も可能で、チームが修正した脆弱性と修正の完了日を把握できます。
測定とベンチマークテストで意思決定を向上
リスクベースの脆弱性管理では、企業のクラウド上の動的資産についても Cyber Exposure を迅速に把握できます。 クラウド環境の CES スコアを得られるため、社内や競合他社との比較によるサイバーセキュリティプログラムの状態を把握できます。
クラウド環境におけるリスクベースの脆弱性管理の詳細は、 クラウドのリスクベースの脆弱性管理ソリューションのページをご覧ください。
リスクベースの脆弱性管理: プロセス
従来の脆弱性管理では、アタックサーフェス全体を包括的に把握できないため、最初に修正すべき脆弱性を判断することが困難です。 リスクベースの脆弱性管理を採用すれば、企業にとって最大のリスクとなる脆弱性を特定してそのコンテキストを把握し、修正の優先順位を付けることができます。 従来の脆弱性管理のコンプライアンス重視のアプローチから、リスクベースのアプローチに移行することによって、インフラと IT に置かれていた焦点をアタックサーフェス全体に拡大できます。 以下は Cyber Exposure のライフサイクルに関連した、リスクベースの脆弱性管理プロセスについて簡単な説明です。
-
検出
アタックサーフェス全体のすべての資産を特定してマッピングすることで、すべてのコンピューティング環境を可視化します。
-
評価
脆弱性、設定ミス、その他のセキュリティの健全性の問題など、すべての環境の資産の状態を把握します。
-
優先順位づけ
エクスポージャーのコンテキストを把握することで、各資産の企業にとっての重大度、脅威の状況、脆弱性の深刻度に基づいた修正の優先順位付けを行えるようになります。
-
修正
脆弱性の修正に優先順位を付け、その順序に従って適切な修正または軽減技術を適用できます。
-
測定
Cyber Exposure を理解することで、サイバーリスクの計算や伝達、社内での比較、競合他社との比較が可能になり、セキュリティとビジネスに関してより適切な意思決定ができます。
リスクベースの脆弱性管理のベストプラクティス
リスクベースの脆弱性管理は比較的新しいアプローチですが、以下のベストプラクティスの推奨事項を実践することで、リスク重視のプログラムの実現に向けて前進できます。
-
データ忠実度とアタックサーフェス
リスクベースの脆弱性管理プログラムが効果的に機能するには、オンプレミスインフラ、エンドポイント、クラウドインフラ、ウェブアプリケーション、コンテナ、モバイルデバイス、IoT、OT を含む、アタックサーフェス全体のデータを継続的に収集して分析する必要があります。
-
プロセスの自動化
設定管理、変更管理、資産管理、インシデント対応をはじめとした、リスクベースの脆弱性管理プロセスを合理化します。
-
分析のカスタマイズ
リスクベースの脆弱性管理ソリューションには、企業のニーズに適した分析機能とカスタマイズ可能なレポート作成機能が不可欠です。 レポートは、主要ステークホルダーに対してその役割に応じた分析を提供します。 また、トップライン分析により、優先順位を付けた脆弱性の修正完了指標など、資産と評価に関する情報の収集状況についての洞察が得られます。
リスクベースの脆弱性管理におけるベストプラクティスを活用することで、セキュリティチームは、忠実度の高いデータと自動化されたプロセスを実現する優れたプログラムを構築して、アタックサーフェス全体の Cyber Exposure を効果的に管理できるようになります。
検出、評価、優先順位付け。
最初に修正すべき脆弱性を憶測で判断するのはやめましょう。
Tenable One なら、即時対応が必要な脆弱性を最大 97% 削減し、本当に深刻なリスクに集中できます。
リスクベースの脆弱性管理に関するブログ記事
リスクに基づいて脆弱性を優先度付けするための 5 つのヒント
ビジネスにとって最もリスクの高い脆弱性をピンポイントで特定することは困難ですが、これから紹介する 5 つのヒントを活用すれば、脆弱性の修正プロセスが改善できます。
予測に基づいた優先順位付け: 最も重要度の高い脆弱性に集中する方法
企業は、平均して 1 日あたり 870 件の脆弱性を、960 の IT 資産上で検出しています。すべてに対応するには、時間もリソースも足りません。だからこそ、リスクに基づいて優先順位を見極めることが重要です。本ホワイトペーパーでは、予測に基づいた優先順位付けにより、どのようにして「対応すべき脆弱性の見極め」を実現し、チーム全体の負荷軽減にも貢献するののかを詳しく解説します。
エクスプロイトキットの脆弱性の優先順位を決めるべきか
戦略としての脆弱性修正の優先順位付けの目的は、企業にとって最もリスクの高い脆弱性を特定することです。 多くの企業では、CVSS (共通脆弱性スコアシステム) を使用して優先順位を付けています。しかし、CVSS では、修正に必要な時間とリソースを確保できないほど多くの「深刻度の高い」脆弱性が検出されることがよくあります。
脆弱性管理に関するオンデマンドウェビナー
Transitioning to risk-based vulnerability management (リスクベースの脆弱性管理への移行)
DX 時代におけるアタックサーフェスは、従来の IT 資産から OT、クラウドに至るまで多様化し、日々拡大を続けています。それにもかかわらず、依然としてすべての資産タイプに対して従来型の脆弱性管理を適用している場合、重大なエクスポージャーを盲点ともに見落とし、サイバーリスクを増大させている可能性があります。
さらに、多くの脆弱性管理ツールでは、「深刻」または「高リスク」とマークされる脆弱性が過度に多く、その大半は攻撃者によって実際に悪用されることもなく、自社の環境にとっても無関係なケースが少なくありません。
このオンデマンドウェビナーでは、リスクベースの脆弱性管理へ移行するための考え方と以下の内容をご紹介します。
- 脆弱性およびアセットデータの優先順位付け、自動化、可視化、管理のベストプラクティス
- アセットと脆弱性のトラッキングを自動化する方法
- わかりやすいダッシュボードを使ったコンプライアンス監査の実施方法
サイバーリスク管理調査からの企業戦略グループ報告
アタックサーフェスは絶えず拡大し、変化しています。 保有する資産、クラウドベースのワークロード、データの数も増える一方です。 これは、企業全体の脆弱性とリスク管理の課題が増加することを意味します。
Enterprise Strategy Group (ESG) Research の最近の調査によると、73% のセキュリティ担当者が、現在のリスク管理は数年前よりも難しくなっていると考えています。
このオンデマンドウェビナーでは、ESG の「Cyber Risk Management Survey Report」(サイバーリスク管理調査報告書) から、次の内容について説明します。
- 絶えず変化する脆弱性の状況で優先順位を付けるための推奨事項
- 脆弱性評価プロセスをポイントインタイムのスキャンから継続的な可視化プロセスへと進化させるべき理由
- サイバーリスクがビジネスリスクとなる仕組み
How can risk-based vulnerability management help prevent ransomware attacks? (リスクベースの脆弱性管理はどのようにしてランサムウェア攻撃を防ぐのか)
ランサムウェア攻撃者は、既知でありながらも放置された脆弱性が環境内に存在する可能性が高いことをよく理解しています。彼らは、セキュリティチームが膨大な脆弱性リストに圧倒され、本来優先すべきではない脆弱性に対応していることに賭けているのです。その隙を突き、まだ修正されていない本当に危険な脆弱性を狙ってきます。
しかし、すべての脆弱性を発見、修正する必要はありません。あなたのチームがまず取り組むべきは、自社環境にとって最もリスクの高い脆弱性を見極め、優先的に対応することです。
このオンデマンドウェビナーの詳細は、次のとおりです。
- アタックサーフェスの中で、最もリスクの高いエクスポージャーを特定し、優先的に修正する方法
- 資産重要度の価値と、それが脆弱性管理プロセスに与える影響
- セキュアな構成と各種コントロールの有効化によって、アタックサーフェスを強化および縮小する方法
- ランサムウェア対策として取るべきその他のステップ
Tenable One で、組織全体のサイバーリスクを把握
Tenable One を活用すれば、組織全体のアタックサーフェスにわたるサイバーリスクを視覚化、分析、測定できます。脆弱性データを意味のあるインサイトに変換することで、リスクの高い上位 3% の脆弱性に集中し、効果的にエクスポージャーを管理することが可能です。
リスクベースのスコアリングと優先順位付け
脆弱性データを資産の重要度や脅威インテリジェンスと組み合わせることで、セキュリティチームがリスクの高い脆弱性に集中できるようにします。
アタックサーフェスの総合的な可視化
組織全体のアタックサーフェスを完全にビジュアル化することで、サイバーリスクの迅速な評価と関係者への明確な共有が可能になります。
エクスポージャーの分析とベンチマークテスト
業界屈指の脆弱性インテリジェンスに支えられた Tenable One を利用することで、サイバーリスクを定量化し、組織内での成熟度をベンチマーク評価できるようになります。
Tenable One で、リスクベースの脆弱性管理戦略へシフト
Tenable One を活用すれば、組織のエクスポージャーを可視化および定量化し、リスクの低減状況を継続的に追跡することができます。さらに、同業他社との比較 (ベンチマーク) も可能です。
- Tenable Cloud Security
- Tenable Vulnerability Management