脆弱性評価とは?
解答はこのページにあります。ここにある情報を活用して脆弱性評価を始めましょう。
脆弱性評価とは、リスクに備えて企業のアタックサーフェス全体を継続的にスキャンして監視することで、ネットワークに潜む脆弱性を特定し、評価するプロセスです。企業をリスクにさらす可能性のある脆弱性からネットワークを守るための最初の一歩となります。
残念なことに、サイバーセキュリティ専門家の約 60% が脆弱性スキャンを定期的に実行しておらず、その多くが「公開された脆弱性を全くスキャンしていない」と語っています。そのような状況を避けるために、プログラムの強化方法に関する推奨事項を提案し、お客様が脆弱性評価のベストプラクティスを採用できるよう Tenable がサポートします。
次の 5 つの項目をご紹介しています。
アタックサーフェス全体の監視と保護のための継続的な脆弱性評価
脆弱性評価は、全資産の Cyber Exposure に対する包括的なインサイト (脆弱性、設定ミス、セキュリティの健全性指標など) を得る上で不可欠です。Nessus を導入すれば、脆弱性や設定ミスを確実に修正できていることが検証でき、確信が持てるようになります。また、関連する情報がセキュリティ情報イベント管理 (SIEM) システムに自動的に直接送信されるため、より多くの情報に基づいて、ネットワーク内で検出された弱点への対応方法を判断することができます。
脆弱性評価プロセスを理解する
脆弱性評価プログラムの導入は大仕事ですが、アタックサーフェス全体を徹底的にカバーするためには欠かせません。
脆弱性評価プログラムの導入準備が企業内で整っていても、どこから手を付ければよいか分からない場合があります。ここでは、脆弱性評価プログラムの基盤を構築し、企業の経時的な変化や進化に合わせて脆弱性評価プログラムを改善するために実行できる 5 つの手順を紹介します。
断片的な脆弱性管理ツールがもたらす課題を克服するために
何十年もの間、アタックサーフェス保護のために包括的な防御態勢の構築を検討してきた企業は、さまざまなソリューションを組み合わせる必要がありました。そして環境が変化するたび、通常、セキュリティチームは新しい環境の可視化のために新しい評価ツールを追加しなければなりませんでした。残念ながら、このように異なるソリューションを組み合わせている場合、データがサイロ化していることが多く、アタックサーフェスの全体像の把握がほぼ不可能になります。これによりセキュリティ上の死角が生じ、攻撃者に弱点を晒すことになります。
単一目的のツールの使用は、もはや DX 時代の脆弱性評価において効果的ではありません。セキュリティチームは不完全なデータに圧倒されており、実際のリスクがどこにあるのか、修復の優先順位をどのように設定すべきか、リスクベースの脆弱性管理プログラムを維持するために何をすべきかを理解することが困難になっています。
このホワイトペーパーでは、以下について詳しく説明します。
- チームがテクノロジーに対して過負荷に陥っている理由
- 異なるセキュリティソリューションの利用によって生じる問題
- 攻撃者が実際に悪用した潜在的な脅威の実例
- リスクベースの脆弱性管理プログラムが必要な理由
その他の重要ポイント
- 攻撃者は、平均でセキュリティチームよりも少なくとも 7 日間先行している
- 調査した脆弱性の約 34% では、エクスプロイトは脆弱性が公開された当日中に利用可能だった
サイバーディフェンダーストラテジーの成熟度を測定してみる
脆弱性評価戦略が明らかにするものを理解する
脆弱性評価に関して、Tenable Research は企業の 4 つの評価スタイルを導き出しました。最も成熟したスタイルから「勤勉型」、「調査型」、「概観型」、「最小主義型」です。各スタイルの概要は次のとおりです。
勤勉型
最高レベルの成熟度です。「勤勉型」に該当する組織は、全体のわずか 5%。運輸、ホスピタリティ、エレクトロニクス、金融および電気通信業界の企業が大多数を占めています。
調査型
中~高レベルの成熟度です。約 43% の企業が該当します。エンターテインメント、公共事業、教育、ヘルスケア業界の企業が大部分を占めています。
概観型
低~中レベルの成熟度であり、約 19% の組織が該当します。公共事業産業の企業や組織が多くを占めています。
最小主義型
成熟度レベルが最も低く、約 33% の企業が該当します。業界は均等に分散しています。
5 つの関連する KPI (スキャンの頻度、スキャンの強度、認証の範囲、資産の範囲、脆弱性の範囲) を評価することで、組織の脆弱性評価スタイルを把握することができます。
コミュニティの力を活用
脆弱性評価におけるニーズと Tenable の知識が 1 か所に
脆弱性評価についてご質問がありますか? 脆弱性評価の専門家のアドバイスをお求めですか? 脆弱性評価のコミュニティと共有したいアイデアをお持ちですか? Tenable Connect コミュニティは、脆弱性アセスメント関連のツールやベストプラクティスを含め、質問をしたりヒントを共有したりするのに最適な場所です。
今、次のような会話が交わされています。
既にスキャンしたシステムのレポートを作成するにはどうすれば良いですか?
先週、100 個のシステムに対する脆弱性評価を 1 回のスキャンで行いました。そのうち 4 分の 3 のシステムの IP アドレスに対するレポートを取得したいのですが、どうすれば良いですか?
回答を見るNessus では、バックポートしたパッチはどのように取り扱われてますか?
Nessus では、誤検出を防止するために backport.inc を利用しています。backport.inc には、既知のサービスバナーからより新しい任意のバージョンのサービスバナーへのマッピングが含まれます。
回答を見る四半期ごとの PCI 外部スキャンと PCI 内部ネットワークスキャンはどう違いますか?
四半期ごとの PCI 外部ポリシーは公式の認証で有効ですが、いずれのポリシーも、いつでもスキャンに使用できます。
回答を見る脆弱性評価についてよくあるご質問
セキュリティ上の脆弱性とは何ですか?
脆弱性評価とは?
企業のアタックサーフェスとはどのようなものですか?
ペネトレーションテストとは何ですか?
ペネトレーションテストにはどのような段階がありますか?
脆弱性評価とペンテストはどう違いますか?
ペンテストには他のアプローチがありますか?
脆弱性スキャナーとは何ですか? また何をするものですか?
なぜ脆弱性評価が必要なのですか?
脆弱性評価ソリューション
継続的な脆弱性評価は、脆弱性管理プログラムの重要な要素です。脆弱性評価は、アタックサーフェス内で Cyber Exposure がある場所、悪用される可能性のある脆弱性の量と種類、それらの脆弱性が企業にもたらす可能性のある潜在的なリスクについての情報を提供してくれます。脆弱性評価によって、これらのリスクを発見して優先順位付けすることができます。
現代のアタックサーフェスは、従来の IT、一時的な資産、モバイル、動的資産およびオペレーションテクノロジーなどの、多様な資産から構成されています。アタックサーフェスに対する完全な可視性なしに、これらすべてのデバイスにわたって脆弱性や不適切な構成を診断することは困難です。しかし、Nessus のような単一の脆弱性評価プラットフォームを使用すれば、すべてのエクスポージャーおよび脆弱性を一元的に把握することができます。
脆弱性評価の利点と、脆弱性評価が包括的なサイバーセキュリティプログラムの一部として採用すべき重要なプロセスである理由は、次のとおりです。
脆弱性評価の強み
-
Cyber Exposure の認識
脆弱性評価は、アタックサーフェス全体における脆弱性、設定ミス、その他の弱点を特定する上で役立ちます。
-
設定とパッチの監査
組織の目標に応じて、脆弱性や設定ミスを確実に修正するのに役立ちます。
-
インシデント管理情報
脆弱性と設定不適切な構成に関する情報を SIEM に自動的に送信してイベントデータを強化し、調査に向けてイベントを優先順位付けし、チームの対応方法を明確にできます。
-
プロセスの有効性確認
サイバーセキュリティプロセスに関する現在の状況を把握できるため、プロセスの効果の実態と、プログラム全体の改善のためにするべきことがインサイトとして得られます。
Nessus - 業界を代表する脆弱性評価ソリューション
ネットワーク上の資産や脆弱性は絶えず変化しています。Nessus Professional ならその全体像を把握し、アタックサーフェス全体を保護できます。
脆弱性評価に関するブログ記事
脆弱性スキャンをペネトレーションテストで使用する方法
ペネトレーションテストは、脆弱性評価プログラムの重要な要素の 1 つです。ペネトレーションテストを実行することで、アタックサーフェスを網羅的に調査して弱点を洗い出し、被害が及ぶ前に修正することができます。
脆弱性インテリジェンスインサイトの中で注目すべき 3 項目
次から次へと発生する脆弱性との果てしない戦いにサイバーセキュリティチームは直面しています。以前は、ニュースの見出し、フォーラムやその他のリソースを徹底的に調べて、最も注目を集めている脆弱性を確認することが大きな仕事でした。
Nessus で脆弱性スキャンを始める方法
Nessus の登場により、脆弱性評価がこれまでになく簡単になりました。Nessus の脆弱性評価では、ネットワークに対する十分な可視性が得られるため、脆弱性の発見と修正に向けた計画を立てることができます。簡単なステップで、脆弱性評価を実行することができます。
脆弱性評価から憶測を排除する
Nessus はポイントインタイム評価を自動化し、幅広いオペレーティングシステム、デバイス、およびアプリケーションのソフトウェアの欠陥、未適用のパッチ、マルウェア、設定ミスなどの脆弱性をすばやく特定して修正します。
信頼性
Nessus は世界中の数万に及ぶ企業に信頼されており、200 万回ダウンロードされています。フォーチュン 500 の 65% の企業が Nessus を採用しています。
正確さ
Nessus の誤検出率は業界で最も低く、シックスシグマ・レベルの正確さに裏付けられています (スキャン 100 万回当たり 0.32 回のエラー)。
包括的なカバレッジ
Nessus has the deepest and broadest coverage with more than 315,000 plugins, coverage for more than 116K CVEs, and more than 100 new plugins released weekly within 24 hours of vulnerability disclosure.
リアルタイム診断
Nessus は、14 万個以上のプラグインをリアルタイムかつ自動的にアップデートすることで、最新の脆弱性およびマルウェアに関する最もタイムリーな情報を提供します。診断・調査の時間を削減し、すばやく修正できるようになります。
インサイトと可視性
複数の法人向け脅威インテリジェンスフィードとのシームレスな統合により、環境全体のホストで実行される可能性のあるマルウェアに対する情報を提供します。評価する度に、脆弱性に対する深い可視性が得られます。
使いやすい
セキュリティ実務者がセキュリティ実務者のために開発した Nessus は、直感的な体験を提供することに焦点を絞り、より迅速かつ確実に脆弱性を発見・修正できるよう設計されています。
- Tenable Nessus