脆弱性管理の完全ガイド
基本情報から診断・検査方法、分析・管理手法まで解説。脆弱性管理について知るべきことは、すべてここにあります。
脆弱性管理は、プロアクティブな資産検出、継続的モニタリング、緩和、診断、分析、検査、修正と組織の最新の IT アタックサーフェスを 変動するサイバーリスク から保護するための防御戦術を含む、継続的なプロセスです。ここに、最新の情報を入手されたいサイバーセキュリティの管理者、新米の脆弱性管理担当者、あるいはサイバー上のリスク変動資産を削減するために脆弱性管理プラットフォームの購入を検討されている担当者、どなたにもお役に立つ脆弱性管理情報や手法をまとめました。脆弱性管理の虎の巻です。
ここでご紹介するポイントの一部をまずご覧ください。
スプレッドシートを廃止して、脆弱性管理をグレードアップ
脆弱性の管理にスプレッドシートをお使いではありませんか? そろそろシートを手放して効率化を図り、緊急のニーズに集中する時間を確保しましょう。
詳細はこちらから脆弱性管理のテクニカルインサイト
クラウド脆弱性管理ソリューションに何を期待するか
クラウドベースの脆弱性管理ソリューション選択のためのバイヤーズガイド
クラウドの脆弱性管理ソリューションは、デプロイメントのしやすさからメンテナンスの容易さまで、組織のニーズの変化に応じて新しい機能や高度なセキュリティ対策をすばやく拡張し、適用するのに役立ちます。
また、コスト面においても、柔軟性があります。その理由は、クラウドホスト型の脆弱性管理ソリューションの多くは初期費用が少なく、一般的に継続的な費用も少なく抑えられるからです。
各脆弱性管理ソリューションには、オンプレミスでもクラウドホスティングでも、それぞれ長所や短所があります。プロバイダーの選定に入る前に、脆弱性管理プログラムの目標が何か、ご検討ください。何を達成したいのか、選択したソリューションが最も役立つものにするためには、どういった機能が必要か、など。
クラウド脆弱性管理ベンダーを評価する前に考えておく質問:
- 脆弱性管理プログラムの目標と目的は明確ですか?
- 目標と目的がどのように脆弱性管理ソリューションと関連するか把握していますか?
- クラウドベースの脆弱性管理ソリューションが主要な機能を提供する仕組みを調べましたか?
- 脆弱性管理ソリューションがいかにクラウドを活用するか、そのメリットが何かを理解していますか?
- 現在の脆弱性や新たに発生する脆弱性に関して、どのような修正範囲を期待し、どの程度の知識をお持ちですか?
SANS 脆弱性管理調査
他の脆弱性管理の専門家から学べること
あらゆる規模の組織が、急速に変化する IT 環境に直面し、これまでにないほど多くの資産を検出して保護し、同様に多くの脆弱性を評価しなければならない状況にあります。
「SANS 脆弱性管理調査」では、増加する脆弱性をいかに管理し、直面する課題にどう対処するかについて調査しました。また、アタックサーフェスが急激に発展して変化した場合でも、アタックサーフェス全体にわたる脆弱性が管理できる方法も提供しています。
- 脆弱性の数が増加するにつれて、頻繁な脆弱性スキャンの必要性がますます高まっている
- サイバーリスクを低減するために、日常的な自動スキャンを実行する
- アタックサーフェスは変化するため、継続的なスキャンを採用して、アタックサーフェスに対するリアルタイムに近いインサイトを得る
- 自動的にパッチを当てるツールを使用して、重要なソフトウェア、アプリケーションおよびオペレーティングシステムを最新の状態に保つ
脆弱性管理についてよくあるご質問
脆弱性管理についてよくあるご質問:
コミュニティの力で脆弱性を管理する
脆弱性管理に関する Tenable の知識と会話が1か所に集結
Tenable に関するディスカッションは長い間、フォーラムサイトで行われてきました。ユーザーからフィードバックが共有され、質問が投げかけられ、知識が交換されてきました。今では、これらのフォーラムへの投稿が新しい Tenable Community の基盤となっています。Tenable Community は、Tenable や脆弱性管理について興味を持つ人々が集まり、アイディアを交換するための場所です。
今、次のような会話が交わされています。
どうすれば Tenable.io で OS の脆弱性をフィルタリングできますか?
当社には、パッチを管理する個別のチームが存在します。一方は OS を管理し、もう一方はアプリケーションをサポートしています。パッチを当てる責任が他のチームにある項目がレポートやダッシュボードに含まれないようにするために、脆弱性ファミリーに基づいて別々のレポートやダッシュボードを用意したいと思っています。
回答を見るどうすれば Tenable.io からスキャン結果をエクスポートできますか?
この動画では、Tenable.io からスキャン結果をエクスポートする方法を実演しています。Tenable.io から脆弱性スキャンデータを .nessus ファイル、PDF、HTML、または CSV 形式で簡単にエクスポートできます。
ビデオを見る私のダッシュボード上で、アクティブな脆弱性が減少しているのはなぜですか?
全くパッチを当てていない、もしくは大規模にパッチを当てていない場合でも、スキャン環境に存在する脆弱性が、脆弱性管理ダッシュボード上で突然減少することがあります。これはなぜですか?
回答を見るサイバーセキュリティを成功に導く脆弱性管理ソリューション
脆弱性管理は、組織の大きさに関わらず、組織のリスクを低減する方法の一つです。しかし、成功する脆弱性管理プログラムを作成することは、決して容易ではありません。そのためには、目標の設定、メトリクス、継続的な検出およびモニタリング、ならびに組織全体の当事者から賛同を得ることが必要となります。どこから手を付ければよいでしょうか。5つの簡単なステップで、脆弱性管理プロセスを強化することができます。
-
検出
適切なツールなくして、継続的な検出と環境に対する可視性を得ることは困難ですが、アタックサーフェスの盲点を検出し、予防する上で不可欠です。脆弱性管理を成功に導くために重要な最初のステップは、コンピューティング環境全体ですべての資産を検出し、マッピングすることです。
-
評価
次に、脆弱性、不適切な構成および他のセキュリティの健全性の指標などを含む、すべての資産の Cyber Exposure を評価します。包括的な脆弱性および不適切な構成の評価は、スキャンの実行だけにとどまりません。Tenable.io で利用できるような、さまざまなデータ収集技術を駆使して、組織の多様なセキュリティ上の問題を特定します。
-
分析
脆弱性管理プログラムを成功に導くための3つ目のステップは、セキュリティおよびビジネス目標に沿って、エクスポージャーを把握することです。これにより、資産の重要度、脅威コンテキストおよび脆弱性の重大度に基づいて修復を優先順位付けすることが可能になります。
-
緩和
最初の3ステップが完了できれば、強力な脆弱性管理プログラムへと順調に近づいています。機械学習を活用することで、さらに踏み込んで将来の脅威アクティビティに関連する、隠れたデータパターンを見つけることができます。これにより、近い将来に悪用される可能性が最も高い脆弱性に対するインサイトが得られます。そこから、最初に緩和すべきエクスポージャーを優先度付けし、適切な修復方法を適用します。
-
測定
最後の推奨事項は、Cyber Exposure を測定し、ベンチマーキングを行うことで、よりよいビジネスおよび技術上の意思決定を行うことです。Tenable.io のレポートのカスタマイズにより、脆弱性管理プログラムの効率に関する理解しやすいデータ、およびプログラムの有効性を同じ業界の競合他社と比較するのに役立つ外部に対するベンチマーク指標が得られます。
脆弱性管理と Cyber Exposure からの保護
脆弱性管理となると、セキュリティチームの多くは、自分たちの部門またはチームの目標にしか集中しません。これまではある程度上手くいっていましたが、セキュリティ上の目標とビジネス目標とが一致した脆弱性管理プログラムの方が強力な場合がほとんどです。
脆弱性管理プログラムをビジネス目標と一致させることで、経営陣や役員が理解できるようにプログラムの成功を伝達するためのメトリクスをより簡単に作成し、分析することができます。これにより、強力なプログラムを構築して上層部からの支持が得られるようになり、プログラムを柔軟かつ拡張可能で、上手く機能させられるよう保つためのリソースにアクセスできるようになります。企業の脆弱性管理に関して、Tenable が推奨する5つのベストプラクティスがこちらです。
-
ゴールを設定する
測定可能で意味のある具体的な構成要素を特定し、次にアタックサーフェスの強化、資産インベントリおよびパッチの監査を開始しましょう。
-
データの正確性を担保する
脆弱性に対するビジビリティ (可視性) を狭めないようしましょう。アクションに結び付く、タイムリーで正確なデータにアクセスしましょう。
-
ギャップを解消する
信頼できるプロセスを維持して信頼を築くために、パッチの問題がある原因ををすばやく特定して、例外として追跡します。
-
独立性と衝突に対処する
効果的な脆弱性管理プログラムを作成するために、プロセスが組織内の個人やチームにどう影響するかを把握しましょう。
-
測定対象を知る
弱点を検出するために、測定は傾向ではなく、例外に集中すべきです。
盲点を排除して、生産性を高める。脆弱性に優先順位を付けしましょう。
Tenable.io は、対処作業に直ちに反映できる、正確なデータを提供できるので、脆弱性の特定、調査、優先順位付け、修正に役立ち、IT 環境全体の不適切な構成を緩和できます。無料でさっそく始めてください。
脆弱性管理のブログ記事
スプレッドシートを廃止して、脆弱性管理をグレードアップ
あなたは習慣にとらわれていませんか? 非効率であると分かっていても、スプレッドシートのような古いツールやリソースを使用して、脆弱性管理プログラムを管理してしまっていませんか? 実際、多くのセキュリティチームが同じことをしているかもしれません。多くの場合、所定の期間内に完了できないほど多くの業務を抱えているため、新しいソリューションにより時間を節約し、プログラムの効率を改善できるとしても、それを探すことに躊躇するかもしれません。Tenable.io は、これまでに得た知識やプログラムに投資した時間を無駄にすることなく、スプレッドシートから解放されることができる簡単な方法です。
セキュリティチームと脆弱性への対応
サイバーセキュリティチームの一員であれば、終わりの見えない脆弱性のリストが永遠と机に積まれていくのは日常茶飯事です。このことは今まで、ニュースヘッドライン、フォーラムや他の情報交換に基づいてさらに調査を行い、どの脆弱性が最も注目を集めているかを確認して、そこに労力を集中させることを意味していました。これでは、成功の見込みなどないように感じられるでしょう。Tenable の 予測に基づいた優先順位付けは、こういった従来の脆弱性への対処方法を根本から変えようとしています。予測に基づいた優先順位付けは、データサイエンスと機械学習を活用した手法で、脆弱性を発見し、パッチを当てて、修正することが簡単になります。
脆弱性管理と診断の基礎
新たに出現するセキュリティ脅威、目を引くツールや、変化する規制の中で、次の大きな問題に対するパッチ・修復業務に忙殺され、セキュリティの基本を見失うかもしれません。基本に立ち戻るための方法の一つは、組織の Cyber Exposure ライフサイクルに関してもっと良く知ることです。Cyber Exposure を使用することで、チームのセキュリティ目標と組織の経営目標とを一致させることができます。どこから手を付ければよいか分かりませんか? Cyber Exposure ライフサイクルの4つのステージを確認して、各ステージが脆弱性管理プログラムにおいて重要である理由を知ってください。
脆弱性管理・オン・デマンド
脆弱性管理の基礎:資産検出と分類
基本的な脆弱性管理の原則を使用して、アタックサーフェス全体にわたる資産の検出および管理という課題を克服しましょう。このウェビナーの詳細は、次のとおりです。
- 継続的な資産検出が重要である理由
- アタックサーフェス全体で異なる種類の資産を検出するためのデータ収集方法
- 資産の管理および分類プロセスを最大限に生かす方法
- 検出能力の改善および拡張に Tenable がいかに役立つか
脆弱性のオーバーロードを Predictive Prioritization で克服する
組織に影響を及ぼす3% の脆弱性だけを修復すればよいとしたらどうでしょう。このオンデマンドウェビナーの詳細は、次のとおりです。
- 予測に基づいた優先順位付けと、それにより脆弱性の修復への取り組み方がいかに変わるか
- 予測に基づいた優先順位付けの基となるデータサイエンス、リサーチおよび分析
- Tenable が予測に基づいた優先順位付け機能をどのように自社製品で利用しているか
- 予測に基づいた優先順位付けはどのように既存の脆弱性管理プログラムを改革するのか
資産および脆弱性の管理プロセスを最適化するための実際的なアプローチ
自動化により、最も重要な資産の管理、優先度付け、修復および追跡を合理化することで、セキュリティリスクを緩和できます。このウェビナーの詳細は、次のとおりです。
- 高度な脆弱性評価およびグループ分けの手法を使用して、プロセスを効率化する方法
- ビジネスへの影響度に基づいて、組織のリスクを優先度付けする方法
- 脆弱性ライフサイクルとは何か、および修復に向けてタイムライン追跡を使用する方法
脆弱性管理の基礎をマスターする: 分析と優先度付け
効果的に脆弱性の検出と評価ができるようになると、パッチを当てるための優先度付けや修復の改善に役立つデータへのアクセスなど、組織全体の Cyber Exposure に対するより深いインサイトが得られます。このオンデマンドウェビナーの詳細は、次のとおりです。
- CVSS スコアリングの価値と限界
- 近い将来、組織に影響を及ぼす可能性の高い脆弱性を見つける方法
- 資産の重要度が、いかに脆弱性管理プログラムの重要な部分を占めているか
Tenable.io: 最新の IT アタックサーフェスのための、業界をリードする脆弱性管理ソリューション
組織の IT 環境は急速に進化しています。そのため、ユーザーとともに進化して変化することができる脆弱性管理ソリューションが必要です。Tenable.io により、すべての資産および脆弱性に対する完全なインサイトを含む、アタックサーフェス全体についてのタイムリーで正確な情報を得ることが可能になります。クラウドで提供されるソリューションとして利用可能な Tenable.io は、脆弱性管理プログラムの効果と効率の向上に役立ちます。
評価
Tenable.io には、アクティブスキャン、エージェントスキャン、およびパッシブネットワークモニタリングに使用する Nessus センサーが付属しており、オンプレミスからクラウドにまたがるアタックサーフェスを可視性することができます。
予測に基づいた優先順位付け
Tenable.io は脆弱性データ、データサイエンスおよび脅威インテリジェンスを使用することで、組織に近い将来、最も大きな影響を及ぼす脆弱性を特定するのに役立ちます。
資産追跡
最新の IT アタックサーフェスは、仮想マシン、クラウドインスタンスやモバイルデバイスなどの極めて動的な IT 資産で構成されています。Tenable.io は業界をリードする正確性で、資産とその脆弱性を追跡します。
ネットワークのパッシブモニタリング
ネットワークトラフィックを継続的にモニタリングすることで、スキャンしづらいデバイスや一時的に存在するシステムをアタックサーフェス全体にわたって検出し、評価できます。
クラウドの可視性
Tenable のクラウドコネクタにより、Microsoft Azure、Google Cloud Platform および Amazon Web Services 用のコネクタを介して、パブリッククラウド環境の継続的な可視化および評価が可能になります。
構築済みの統合と柔軟な API
構築済みの統合、および詳細に文書化された API や SDK リソースを使用することで、ワークフローを自動化して Tenable.io のデータを他のサードパーティーシステムと共有することができます。詳細については、developer.tenable.com をご確認ください。
