脆弱性評価とは何ですか?
解答はこのページにあります。ここにある情報を活用して脆弱性評価を始めましょう。
脆弱性評価とは、リスクに備えて企業のアタックサーフェス全体を継続的にスキャンして監視することで、ネットワークに潜む脆弱性を特定し、評価するプロセスです。企業をリスクにさらす可能性のある脆弱性からネットワークを守るための最初の一歩となります。
残念なことに、サイバーセキュリティ専門家の約 60% が脆弱性スキャンを定期的に実行しておらず、その多くが「公開された脆弱性を全くスキャンしていない」と語っています。そのような状況を避けるために、プログラムの強化方法に関する推奨事項を提案し、お客様が脆弱性評価のベストプラクティスを採用できるよう Tenable がサポートします。
次の 5 つの項目をご紹介しています。
アタックサーフェス全体の監視と保護のための継続的な脆弱性評価
脆弱性評価は、全資産の Cyber Exposure に対する包括的なインサイト (脆弱性、設定ミス、セキュリティの健全性指標など) を得る上で不可欠です。Nessus を導入すれば、脆弱性や設定ミスを確実に修正できていることが検証でき、確信が持てるようになります。また、関連する情報がセキュリティ情報イベント管理 (SIEM) システムに自動的に直接送信されるため、より多くの情報に基づいて、ネットワーク内で検出された弱点への対応方法を判断することができます。
脆弱性評価プロセスを理解する
脆弱性評価プログラムの導入は大仕事ですが、アタックサーフェス全体を徹底的にカバーするためには欠かせません。
脆弱性評価プログラムの導入準備が企業内で整っていても、どこから手を付ければよいか分からない場合があります。ここでは、脆弱性評価プログラムの基盤を構築し、企業の経時的な変化や進化に合わせて脆弱性評価プログラムを改善するために実行できる 5 つの手順を紹介します。
断片的な脆弱性管理ツールがもたらす課題を克服するために
何十年もの間、アタックサーフェス保護のために包括的な防御態勢の構築を検討してきた企業は、さまざまなソリューションを組み合わせる必要がありました。そして環境が変化するたび、通常、セキュリティチームは新しい環境の可視化のために新しい評価ツールを追加しなければなりませんでした。残念ながら、このように異なるソリューションを組み合わせている場合、データがサイロ化していることが多く、アタックサーフェスの全体像の把握がほぼ不可能になります。これによりセキュリティ上の死角が生じ、攻撃者に弱点を晒すことになります。
単一目的のツールの使用は、もはや DX 時代の脆弱性評価において効果的ではありません。セキュリティチームは不完全なデータに圧倒されており、実際のリスクがどこにあるのか、修復の優先順位をどのように設定すべきか、リスクベースの脆弱性管理プログラムを維持するために何をすべきかを理解することが困難になっています。
このホワイトペーパーでは、以下について詳しく説明します。
- チームがテクノロジーに対して過負荷に陥っている理由
- 異なるセキュリティソリューションの利用によって生じる問題
- 攻撃者が実際に悪用した潜在的な脅威の実例
- リスクベースの脆弱性管理プログラムが必要な理由
その他の重要ポイント
- 攻撃者は、平均でセキュリティチームよりも少なくとも 7 日間先行している
- 調査した脆弱性の約 34% では、エクスプロイトは脆弱性が公開された当日中に利用可能だった
脆弱性とエクスプロイト
サプライチェーンの経済的側面
攻撃者にとって大儲けできる市場となり得る
脆弱性を悪用して、エクスプロイトに変換することは、攻撃者にとって収益性の高いビジネスとなり得ます。エクスプロイトの種類によって見返りは異なりますが、エクスプロイト 1 件で、数百万ドルを稼いでいる例もあります。
サイバー犯罪のマネーロンダリングだけでも優に総額 2,000 億ドルに達しており、組織を保護するために全世界でサイバーセキュリティに費やされている 1,360 億ドルを大きく上回っています。
エクスプロイトサプライチェーンは巧妙で、発見が困難であり、関連する市場セグメントも同様に巧妙で発見が困難です。エクスプロイトのホワイトマーケットとブラックマーケットでは、犯罪者のバイヤーと合法のバイヤーが交錯しています。その中間であるグレーマーケットは主に、情報収集目的でデータをターゲットにしている秘密の国家支援集団が主導しています。
攻撃者はネットワークを狙うにあたり、防御側よりも多くのリソースを持っているようです。セキュリティチームは最善を尽くして攻撃者の後を追っているのですが、防御側のリスクと攻撃側の悪意の差を埋めることは困難です。
CISO、セキュリティ担当者、セキュリティマネージャーの方は、このレポートを入手して、脆弱性とエクスプロイトサプライチェーンに油を注ぐ市場のダイナミクスについて詳しい知識を得て、ネットワークを安全に保つための対策を確認されることをお勧めします。
サイバーディフェンダーストラテジーの成熟度を測定してみる
脆弱性評価戦略が明らかにするものを理解する
脆弱性評価に関して、Tenable Research は企業の 4 つの評価スタイルを導き出しました。最も成熟したスタイルから「勤勉型」、「調査型」、「概観型」、「最小主義型」です。各スタイルの概要は次のとおりです。
勤勉型
最高レベルの成熟度です。「勤勉型」に該当する組織は、全体のわずか 5%。運輸、ホスピタリティ、エレクトロニクス、金融および電気通信業界の企業が大多数を占めています。
調査型
中~高レベルの成熟度です。約 43% の企業が該当します。エンターテインメント、公共事業、教育、ヘルスケア業界の企業が大部分を占めています。
概観型
低~中レベルの成熟度であり、約 19% の組織が該当します。公共事業産業の企業や組織が多くを占めています。
最小主義型
成熟度レベルが最も低く、約 33% の企業が該当します。業界は均等に分散しています。
5 つの関連する KPI (スキャンの頻度、スキャンの強度、認証の範囲、資産の範囲、脆弱性の範囲) を評価することで、組織の脆弱性評価スタイルを把握することができます。
このレポートでは、各脆弱性評価スタイルに関連する特徴、同業他社と比較した現状、成熟度を向上させるための推奨に関する情報が得られます。
コミュニティをご活用ください
脆弱性評価におけるニーズと Tenable の知識が 1 か所に
脆弱性評価についてご質問がありますか? 脆弱性評価の専門家のアドバイスをお求めですか? 脆弱性評価のコミュニティと共有したいアイデアをお持ちですか? Tenable Community は、脆弱性評価に関連するツールやベストプラクティスなどの質問をしたり、ヒントを共有したりするのに最適な場所です。
今、次のような会話が交わされています。
既にスキャンしたシステムのレポートを作成するにはどうすれば良いですか?
先週、100 個のシステムに対する脆弱性評価を 1 回のスキャンで行いました。そのうち 4 分の 3 のシステムの IP アドレスに対するレポートを取得したいのですが、どうすれば良いですか?
回答を見るNessus では、バックポートしたパッチはどのように取り扱われてますか?
Nessus では、誤検出を防止するために backport.inc を利用しています。backport.inc には、既知のサービスバナーからより新しい任意のバージョンのサービスバナーへのマッピングが含まれます。
回答を見る四半期ごとの PCI 外部スキャンと PCI 内部ネットワークスキャンはどう違いますか?
四半期ごとの PCI 外部ポリシーは公式の認証で有効ですが、いずれのポリシーも、いつでもスキャンに使用できます。
回答を見る脆弱性評価についてよくあるご質問
セキュリティ上の脆弱性とは何ですか?
脆弱性評価とは何ですか?
企業のアタックサーフェスとはどのようなものですか?
ペネトレーションテストとは何ですか?
ペネトレーションテストにはどのような段階がありますか?
脆弱性評価とペンテストはどう違いますか?
ペンテストには他のアプローチがありますか?
脆弱性スキャナーとは何ですか? また何をするものですか?
なぜ脆弱性評価が必要なのですか?
脆弱性評価スタイル - あなたのチームはどのスタイルに該当しますか?
脆弱性評価における成熟度スタイルを把握されていますか? このオンデマンドウェビナーでは、Tenable Research が 4 つの異なるスタイルとそれぞれの特徴についてご紹介しています。貴社のチームは、「勤勉型」、「調査型」、「概観型」、「最小主義型」のうちのどれに該当するでしょうか? ここから視聴できるウェビナーでは、次の点について説明しています。
- 脆弱性評価における成熟度スタイルの特徴
- 各スタイルと業界との関係性
- より成熟したスタイルに進化するためにできること
脆弱性評価ソリューション
継続的な脆弱性評価は、脆弱性管理プログラムの重要な要素です。脆弱性評価は、アタックサーフェス内で Cyber Exposure がある場所、悪用される可能性のある脆弱性の量と種類、それらの脆弱性が企業にもたらす可能性のある潜在的なリスクについての情報を提供してくれます。脆弱性評価によって、これらのリスクを発見して優先順位付けすることができます。
現代のアタックサーフェスは、従来の IT、一時的な資産、モバイル、動的資産およびオペレーションテクノロジーなどの、多様な資産から構成されています。アタックサーフェスに対する完全な可視性なしに、これらすべてのデバイスにわたって脆弱性や不適切な構成を診断することは困難です。しかし、Nessus のような単一の脆弱性評価プラットフォームを使用すれば、すべてのエクスポージャーおよび脆弱性を一元的に把握することができます。
脆弱性評価の利点と、脆弱性評価が包括的なサイバーセキュリティプログラムの一部として採用すべき重要なプロセスである理由は、次のとおりです。
脆弱性評価の強み
-
Cyber Exposure の認識
脆弱性評価は、アタックサーフェス全体における脆弱性、設定ミス、その他の弱点を特定する上で役立ちます。
-
設定とパッチの監査
組織の目標に応じて、脆弱性や設定ミスを確実に修正するのに役立ちます。
-
インシデント管理情報
脆弱性と設定不適切な構成に関する情報を SIEM に自動的に送信してイベントデータを強化し、調査に向けてイベントを優先順位付けし、チームの対応方法を明確にできます。
-
プロセスの有効性確認
サイバーセキュリティプロセスに関する現在の状況を把握できるため、プロセスの効果の実態と、プログラム全体の改善のためにするべきことがインサイトとして得られます。
Nessus - 業界を代表する脆弱性評価ソリューション
ネットワーク上の資産や脆弱性は絶えず変化しています。Nessus Professional ならその全体像を把握し、アタックサーフェス全体を保護できます。
脆弱性評価に関するブログ記事
脆弱性スキャンをペネトレーションテストで使用する方法
ペネトレーションテストは、脆弱性評価プログラムの重要な要素の 1 つです。ペネトレーションテストを実行することで、アタックサーフェスを網羅的に調査して弱点を洗い出し、被害が及ぶ前に修正することができます。
脆弱性インテリジェンスインサイトの中で注目すべき 3 項目
次から次へと発生する脆弱性との果てしない戦いにサイバーセキュリティチームは直面しています。以前は、ニュースの見出し、フォーラムやその他のリソースを徹底的に調べて、最も注目を集めている脆弱性を確認することが大きな仕事でした。
Nessus で脆弱性スキャンを始める方法
Nessus の登場により、脆弱性評価がこれまでになく簡単になりました。Nessus の脆弱性評価では、ネットワークに対する十分な可視性が得られるため、脆弱性の発見と修正に向けた計画を立てることができます。簡単なステップで、脆弱性評価を実行することができます。
脆弱性評価のオン・デマンド・ウェビナー
Master the Fundamentals of Vulnerability Assessment (脆弱性評価の基礎をマスターする)
設定ミスや脆弱性を効果的に特定・診断し、組織を安全に保護する方法をこのウェビナーがご紹介します。
- アタックサーフェス内の重大な欠陥を発見する方法
- スキャン頻度、スキャン深度、内部/外部要因のバランスをとって、最善の結果を得る方法
- 脆弱性評価プロセスを改善し、設定ミスを明らかにして他のセキュリティの健全性指標をより良く把握する、など Tenable が提供できる利点について
7 Reasons Security Consultants Trust Their Business to Nessus (セキュリティのコンサルタントが Nessus を信頼してビジネスを託す 7 つの理由)
Nessus Professional は、世界で 100 万人以上のユーザーから信頼されています。このウェビナーでは、次の内容についてご紹介しています。
- Nessus が脆弱性評価ソリューションとして最も広く採用されている理由
- 企業をサイバーリスクから保護する上で Nessus がいかに役立つか
- セキュリティコンサルタントが Tenable と Nessus を信頼する理由
Overcoming the Challenges of Credentialed Scanning (認証スキャンの課題を克服する)
認証スキャンを上手に活用できていますか? 自動化を取り入れてプロセスを効率化していますか? このオン・デマンド・ウェビナーでは、次を実現する上で Tenable が役立つ理由についてご紹介しています。
- アタックサーフェスに関してこれまで把握できなかった部分について知識を得て、Cyber Exposure に対する可視性を向上させる方法
- 認証スキャンを最大限に活用するための方法
- 自動化を取り入れてプロセスを効率化する方法
脆弱性評価から憶測を排除する
Nessus はポイントインタイム評価を自動化し、幅広いオペレーティングシステム、デバイス、およびアプリケーションのソフトウェアの欠陥、未適用のパッチ、マルウェア、設定ミスなどの脆弱性をすばやく特定して修正します。
信頼性
Nessus は世界中の数万に及ぶ企業に信頼されており、200 万回ダウンロードされています。フォーチュン 500 の 65% の企業が Nessus を採用しています。
正確さ
Nessus の誤検出率は業界で最も低く、シックスシグマ・レベルの正確さに裏付けられています (スキャン 100 万回当たり 0.32 回のエラー)。
包括的なカバレッジ
Nessus は、215,000 個以上のプラグインに対応しており、業界で最も深く、幅広い範囲を網羅しています。88,000 件以上の CVE、および毎週リリースされる 100 件以上の新しいプラグインをカバーし、脆弱性の開示から 24 時間以内に対処します。
リアルタイム診断
Nessus は、14 万個以上のプラグインをリアルタイムかつ自動的にアップデートすることで、最新の脆弱性およびマルウェアに関する最もタイムリーな情報を提供します。診断・調査の時間を削減し、すばやく修正できるようになります。
インサイトと可視性
複数の法人向け脅威インテリジェンスフィードとのシームレスな統合により、環境全体のホストで実行される可能性のあるマルウェアに対する情報を提供します。評価する度に、脆弱性に対する深い可視性が得られます。
使いやすい
セキュリティ実務者がセキュリティ実務者のために開発した Nessus は、直感的な体験を提供することに焦点を絞り、より迅速かつ確実に脆弱性を発見・修正できるよう設計されています。