脆弱性管理を理解する
基本情報から診断・検査方法、分析・管理手法まで解説。脆弱性管理について知りたいことは、すべてここから。
脆弱性管理は、プロアクティブな資産検出、継続的モニタリング、緩和、診断、分析、検査、修正と組織の最新の IT アタックサーフェスを 変動するサイバーリスク から保護するための防御戦術を含む、継続的なプロセスです。ここに、最新の情報を入手されたいサイバーセキュリティの管理者、新米の脆弱性管理担当者、あるいはサイバー上のリスク変動資産を削減するために脆弱性管理プラットフォームの購入を検討されている担当者、どなたにもお役に立つ脆弱性管理情報や手法をまとめました。脆弱性管理の虎の巻です。
ここでご紹介するポイントの一部をまずご覧ください。
スプレッドシートを廃止して、脆弱性管理をグレードアップ
脆弱性の管理にスプレッドシートをお使いではありませんか? そろそろシートを手放して効率化を図り、緊急のニーズに集中する時間を確保しましょう。
詳細はこちらから最新のアタックサーフェスを管理・測定すれば、サイバー上のリスク変動資産を正確に把握して低減することができます
特定・調査・優先順位付け・緩和・対応
脆弱性管理は、包括的なサイバーセキュリティプログラムの一部であり、Cyber Exposure を低減させるための持続的なプロセスです。Tenable Vulnerability Management を使用することで、アタックサーフェス全体にわたって脆弱性を正確に特定、調査して優先度付けを行い、すべての資産および脆弱性に関する最も正確な情報に、単一のプラットフォームを使用して即座にアクセスすることが可能になります。
脆弱性管理のテクニカルインサイト
クラウド脆弱性管理ソリューションに何を期待するか
クラウドベースの脆弱性管理ソリューション選択のためのバイヤーズガイド
クラウドの脆弱性管理ソリューションは、デプロイメントのしやすさからメンテナンスの容易さまで、組織のニーズの変化に応じて新しい機能や高度なセキュリティ対策をすばやく拡張し、適用するのに役立ちます。
また、コスト面においても、柔軟性があります。その理由は、クラウドホスト型の脆弱性管理ソリューションの多くは初期費用が少なく、一般的に継続的な費用も少なく抑えられるからです。
各脆弱性管理ソリューションには、オンプレミスでもクラウドホスティングでも、それぞれ長所や短所があります。プロバイダーの選定に入る前に、脆弱性管理プログラムの目標が何か、ご検討ください。何を達成したいのか、選択したソリューションが最も役立つものにするためには、どういった機能が必要か、など。
クラウド脆弱性管理ベンダーを評価する前に考えておく質問:
- 脆弱性管理プログラムの目標と目的は明確ですか?
- 目標および目的がどのように脆弱性管理ソリューションと関連するかを把握していますか?
- クラウドベースの脆弱性管理ソリューションが主要な機能を提供する仕組みを調べましたか?
- 脆弱性管理ソリューションがいかにクラウドを活用するか、そのメリットが何かを理解していますか?
- 現在の脆弱性や新たに発生する脆弱性に関して、どのような修正範囲を期待し、どの程度の知識をお持ちですか?
リスクベースの脆弱性管理実装ガイド
アタックサーフェスが進化し、攻撃経路が増加するにつれて、セキュリティチームが脆弱性に先回りして対処することが困難になることがあります。チームが従来の脆弱性管理手法をまだ使用している場合、その対処はより難しくなります。なぜなら、従来の脆弱性管理では、たいていの場合、チームが管理できないほどの数の、攻撃者が決して悪用しないような脆弱性を発見している可能性が高いためです。
一方、リスクベースの脆弱性管理戦略を採用すると、より効果的に企業を保護できるようになります。機械学習で生成されたモデルを使用することで、チームは企業にとって実際の脅威となるものを把握してこれら脆弱性へ対処したり、修復プロセスの優先順位を付けたりできるようになります。
この電子書籍では、下記について詳しく説明しています。
- リスクベースの脆弱性管理プログラムを導入する方法
- 少ない労力でチームのリスクを軽減するのに機械学習がどのように役立つか
- リスクベースの脆弱性管理ライフサイクルに含まれる 5 つのステップ
脆弱性管理についてよくあるご質問
脆弱性管理についてよくあるご質問:
脆弱性管理とは?
セキュリティ上の脆弱性とは何ですか?
ネットワークモニターとは何ですか? 脆弱性の管理にどう役立ちますか?
資産とは何ですか?
アタックサーフェスとは何ですか?
脆弱性管理と Cyber Exposure の関係性はどのようなものですか?
Vulnerability Priority Rating (VPR) とは何ですか?
Asset Criticality Rating (ACR) とは何ですか?
Asset Exposure Score (AES) とは何ですか?
Cyber Exposure Score とは何ですか? なぜ重要なのですか?
コミュニティの力で脆弱性を管理する
脆弱性管理に関する Tenable の知識と会話が1か所に集結
Tenable に関するディスカッションは長い間、フォーラムサイトで行われてきました。ユーザーからフィードバックが共有され、質問が投げかけられ、知識が交換されてきました。今では、これらのフォーラムへの投稿が新しい Tenable Community の基盤となっています。Tenable Community は、Tenable や脆弱性管理について興味を持つ人々が集まり、アイディアを交換するための場所です。
今、次のような会話が交わされています。
Tenable Vulnerability Management で OS の脆弱性をフィルタリングするにはどうすればよいですか?
当社には、パッチを管理する個別のチームが存在します。一方は OS を管理し、もう一方はアプリケーションをサポートしています。パッチを当てる責任が他のチームにある項目がレポートやダッシュボードに含まれないようにするために、脆弱性ファミリーに基づいて別々のレポートやダッシュボードを用意したいと思っています。
回答を見るTenable Vulnerability Management からスキャンをエクスポートするにはどうすればよいですか?
この短い動画では、Tenable Vulnerability Management からスキャン結果をエクスポートする方法を説明します。Tenable Vulnerability Management から脆弱性スキャンデータを .nessus ファイル、PDF、HTML、または CSV として簡単にエクスポートできます。
ビデオを見る私のダッシュボード上で、アクティブな脆弱性が減少しているのはなぜですか?
全くパッチを当てていない、もしくは大規模にパッチを当てていない場合でも、スキャン環境に存在する脆弱性が、脆弱性管理ダッシュボード上で突然減少することがあります。これはなぜですか?
回答を見るサイバーセキュリティを成功に導く脆弱性管理ソリューション
脆弱性管理は、組織の大きさに関わらず、組織のリスクを低減する方法の一つです。しかし、成功する脆弱性管理プログラムを作成することは、決して容易ではありません。そのためには、目標の設定、メトリクス、継続的な検出およびモニタリング、ならびに組織全体の当事者から賛同を得ることが必要となります。どこから手を付ければよいでしょうか。5つの簡単なステップで、脆弱性管理プロセスを強化することができます。
-
検出
適切なツールなくして、継続的な検出と環境に対する可視性を得ることは困難ですが、アタックサーフェスの盲点を検出し、予防する上で不可欠です。脆弱性管理を成功に導くために重要な最初のステップは、コンピューティング環境全体ですべての資産を検出し、マッピングすることです。
-
評価
次に、脆弱性、不適切な構成および他のセキュリティの健全性の指標などを含む、すべての資産の Cyber Exposure を評価します。包括的な脆弱性および不適切な構成の評価は、スキャンの実行だけにとどまりません。Tenable Vulnerability Management で利用できるような、さまざまなデータ収集技術を駆使して、組織の多様なセキュリティ上の問題を特定します。
-
分析
脆弱性管理プログラムを成功に導くための3つ目のステップは、セキュリティおよびビジネス目標に沿って、エクスポージャーを把握することです。これにより、資産の重要度、脅威コンテキストおよび脆弱性の重大度に基づいて修復を優先順位付けすることが可能になります。
-
緩和
最初の3ステップが完了できれば、強力な脆弱性管理プログラムへと順調に近づいています。機械学習を活用することで、さらに踏み込んで将来の脅威アクティビティに関連する、隠れたデータパターンを見つけることができます。これにより、近い将来に悪用される可能性が最も高い脆弱性に対するインサイトが得られます。そこから、最初に緩和すべきエクスポージャーを優先度付けし、適切な修復方法を適用します。
-
測定
最後の推奨事項は、Cyber Exposure を測定し、ベンチマーキングを行うことで、よりよいビジネスおよび技術上の意思決定を行うことです。Tenable Vulnerability Management のレポートのカスタマイズにより、脆弱性管理プログラムの効率に関する理解しやすいデータ、およびプログラムの有効性を同じ業界の競合他社と比較するのに役立つ外部に対するベンチマーク指標が得られます。
脆弱性管理と Cyber Exposure からの保護
脆弱性管理となると、セキュリティチームの多くは、自分たちの部門またはチームの目標にしか集中しません。これまではある程度上手くいっていましたが、セキュリティ上の目標とビジネス目標とが一致した脆弱性管理プログラムの方が強力な場合がほとんどです。
脆弱性管理プログラムをビジネス目標と一致させることで、経営陣や役員が理解できるようにプログラムの成功を伝達するためのメトリクスをより簡単に作成し、分析することができます。これにより、強力なプログラムを構築して上層部からの支持が得られるようになり、プログラムを柔軟かつ拡張可能で、上手く機能させられるよう保つためのリソースにアクセスできるようになります。企業の脆弱性管理に関して、Tenable が推奨する5つのベストプラクティスがこちらです。
-
ゴールを設定する
測定可能で意味のある具体的な構成要素を特定し、次にアタックサーフェスの強化、資産インベントリおよびパッチの監査を開始しましょう。
-
データの正確性を担保する
脆弱性に対するビジビリティ (可視性) を狭めないようしましょう。アクションに結び付く、タイムリーで正確なデータにアクセスしましょう。
-
ギャップを解消する
信頼できるプロセスを維持して信頼を築くために、パッチの問題がある原因ををすばやく特定して、例外として追跡します。
-
独立性と衝突に対処する
効果的な脆弱性管理プログラムを作成するために、プロセスが組織内の個人やチームにどう影響するかを把握しましょう。
-
測定対象を知る
弱点を検出するために、測定は傾向ではなく、例外に集中すべきです。
盲点を排除して、生産性を高める。脆弱性に優先順位を付けしましょう。
Tenable Vulnerability Management のアクションに結び付く正確なデータは、IT 環境全体にわたって脆弱性の修復を特定、調査および優先度付けし、不適切な構成を緩和するのに役立ちます。今すぐ無料で始めましょう。
脆弱性管理のブログ記事
スプレッドシートを廃止して、脆弱性管理をグレードアップ
あなたは習慣にとらわれていませんか? 非効率であると分かっていても、スプレッドシートのような古いツールやリソースを使用して、脆弱性管理プログラムを管理してしまっていませんか? 実際、多くのセキュリティチームが同じことをしているかもしれません。多くの場合、所定の期間内に完了できないほど多くの業務を抱えているため、新しいソリューションにより時間を節約し、プログラムの効率を改善できるとしても、それを探すことに躊躇するかもしれません。Tenable Vulnerability Management は、これまでに得た知識やプログラムに投資した時間を無駄にすることなく、スプレッドシートから解放されることができる簡単な方法です。
セキュリティチームと脆弱性への対応
サイバーセキュリティチームの一員であれば、終わりの見えない脆弱性のリストが永遠と机に積まれていくのは日常茶飯事です。このことは今まで、ニュースヘッドライン、フォーラムや他の情報交換に基づいてさらに調査を行い、どの脆弱性が最も注目を集めているかを確認して、そこに労力を集中させることを意味していました。これでは、成功の見込みなどないように感じられるでしょう。Tenable の 予測に基づいた優先順位付けは、こういった従来の脆弱性への対処方法を根本から変えようとしています。予測に基づいた優先順位付けは、データサイエンスと機械学習を活用した手法で、脆弱性を発見し、パッチを当てて、修正することが簡単になります。
脆弱性管理と診断の基礎
新たに出現するセキュリティ脅威、目を引くツールや、変化する規制の中で、次の大きな問題に対するパッチ・修復業務に忙殺され、セキュリティの基本を見失うかもしれません。基本に立ち戻るための方法の一つは、組織の Cyber Exposure ライフサイクルに関してもっと良く知ることです。Cyber Exposure を使用することで、チームのセキュリティ目標と組織の経営目標とを一致させることができます。どこから手を付ければよいか分かりませんか? Cyber Exposure ライフサイクルの4つのステージを確認して、各ステージが脆弱性管理プログラムにおいて重要である理由を知ってください。
脆弱性管理・オン・デマンド
脆弱性管理の基礎:資産検出と分類
基本的な脆弱性管理の原則を使用して、アタックサーフェス全体にわたる資産の検出および管理という課題を克服しましょう。このウェビナーの詳細は、次のとおりです。
- 継続的な資産検出が重要である理由
- アタックサーフェス全体で異なる種類の資産を検出するためのデータ収集方法
- 資産の管理および分類プロセスを最大限に生かす方法
- 検出能力の改善および拡張に Tenable がいかに役立つか
脆弱性のオーバーロードを Predictive Prioritization で克服する
組織に影響を及ぼす3% の脆弱性だけを修復すればよいとしたらどうでしょう。このオンデマンドウェビナーの詳細は、次のとおりです。
- 予測に基づいた優先順位付けと、それにより脆弱性の修復への取り組み方がいかに変わるか
- 予測に基づいた優先順位付けの基となるデータサイエンス、リサーチおよび分析
- Tenable が予測に基づいた優先順位付け機能をどのように自社製品で利用しているか
- 予測に基づいた優先順位付けはどのように既存の脆弱性管理プログラムを改革するのか
資産および脆弱性の管理プロセスを最適化するための実際的なアプローチ
自動化により、最も重要な資産の管理、優先度付け、修復および追跡を合理化することで、セキュリティリスクを緩和できます。このウェビナーの詳細は、次のとおりです。
- 高度な脆弱性評価およびグループ分けの手法を使用して、プロセスを効率化する方法
- ビジネスへの影響度に基づいて、組織のリスクを優先度付けする方法
- 脆弱性ライフサイクルとは何か、および修復に向けてタイムライン追跡を使用する方法
脆弱性管理の基礎をマスターする: 分析と優先度付け
効果的に脆弱性の検出と評価ができるようになると、パッチを当てるための優先度付けや修復の改善に役立つデータへのアクセスなど、組織全体の Cyber Exposure に対するより深いインサイトが得られます。このオンデマンドウェビナーの詳細は、次のとおりです。
- CVSS スコアリングの価値と限界
- 近い将来、組織に影響を及ぼす可能性の高い脆弱性を見つける方法
- 資産の重要度が、いかに脆弱性管理プログラムの重要な部分を占めているか
Tenable Vulnerability Management: 最新の IT アタックサーフェスのための、業界をリードする脆弱性管理ソリューション
組織の IT 環境は急速に進化しています。そのため、ユーザーとともに進化して変化することができる脆弱性管理ソリューションが必要です。Tenable Vulnerability Management により、すべての資産および脆弱性に対する完全なインサイトを含む、アタックサーフェス全体についてのタイムリーで正確な情報を得ることが可能になります。クラウドで提供されるソリューションとして利用可能な Tenable Vulnerability Management は、脆弱性管理プログラムの効果と効率の向上に役立ちます。
評価
Tenable Vulnerability Management には、アクティブスキャン、エージェントスキャン、およびパッシブネットワークモニタリングに使用する Nessus センサーが付属しており、オンプレミスからクラウドにまたがるアタックサーフェスを可視性することができます。
予測に基づいた優先順位付け
Tenable Vulnerability Management は脆弱性データ、データサイエンスおよび脅威インテリジェンスを使用することで、組織に近い将来、最も大きな影響を及ぼす脆弱性を特定するのに役立ちます。
資産追跡
最新の IT アタックサーフェスは、仮想マシン、クラウドインスタンスやモバイルデバイスなどの極めて動的な IT 資産で構成されています。Tenable Vulnerability Management は業界をリードする正確性で、資産とその脆弱性を追跡します。
ネットワークのパッシブモニタリング
ネットワークトラフィックを継続的にモニタリングすることで、スキャンしづらいデバイスや一時的に存在するシステムをアタックサーフェス全体にわたって検出し、評価できます。
クラウドの可視性
Tenable のクラウドコネクタにより、Microsoft Azure、Google Cloud Platform および Amazon Web Services 用のコネクタを介して、パブリッククラウド環境の継続的な可視化および評価が可能になります。
構築済みの統合と柔軟な API
構築済みの統合、および詳細に文書化された API や SDK リソースを使用することで、ワークフローを自動化して Tenable Vulnerability Management のデータを他のサードパーティーシステムと共有することができます。詳細については、developer.tenable.com をご確認ください。