脆弱性管理 ― 知っておくべきすべてのこと
これ以上、探す必要はありません。脆弱性管理について知るべきことは、すべてここにあります。
脆弱性管理はプロアクティブな資産検出、継続的モニタリング、緩和、修復、および組織の最新の IT アタックサーフェスを Cyber Exposure から保護するための防御戦術を含む、継続的なプロセスです。あなたが再教育を必要とするサイバーセキュリティの管理者、新米の脆弱性管理の専門家、もしくは Cyber Exposure を低減するために脆弱性管理プラットフォームの購入を検討している担当者でも、このページは脆弱性管理に関する知識の拠り所です。
ここで学べるポイントの一部をご紹介します。
スプレッドシートを廃止して、脆弱性管理をグレードアップ
脆弱性管理プログラムにおいて、まだスプレッドシートを使い続けていませんか? そろそろシートを手放して効率化を図り、緊急のニーズに集中する時間を確保しましょう。
詳細はこちら脆弱性管理のテクニカルインサイト
クラウド脆弱性管理ソリューションに期待すべきポイント
クラウドベースの脆弱性管理ソリューション選択のためのバイヤーズガイド
クラウドの脆弱性管理ソリューションは、デプロイメントのしやすさからメンテナンスの容易さまで、組織のニーズの変化に応じて新しい機能や高度なセキュリティ対策をすばやく拡張し、適用するのに役立ちます。
またコスト面においても、柔軟性を提供してくれます。その理由は、クラウドホストの脆弱性管理ソリューションの多くは初期費用が少なく、一般的に関連する継続的な費用も少なく抑えられるからです。
各脆弱性管理ソリューションには、オンプレミスでもクラウドホスティングでも、それぞれ長所や短所があります。プロバイダーの選定に入る前に、脆弱性管理プログラムの目標について考えてみましょう。何を達成したいか? また選択したソリューションが最も役立つものにするためには、どういった機能が必要か?
クラウド脆弱性管理ベンダーを評価する前に考えるべき、その他の質問:
- 脆弱性管理プログラムの目標と目的は設定しましたか?
- 目標と目的がどのように脆弱性管理ソリューションと関連するかを把握していますか?
- クラウドベースの脆弱性管理ソリューションが主要な機能を提供する仕組みを調べましたか?
- 脆弱性管理ソリューションがいかにクラウドを活用し、組織に利益をもたらすかを理解していますか?
- 現在の脆弱性や新たに発生する脆弱性に関して、期待する範囲や知識はどのようなものですか?
SANS 脆弱性管理調査
他の脆弱性管理の専門家から学べること
あらゆる規模の組織が、急速に変化する IT 環境に直面し、これまでにないほど多くの検出・保護すべき資産や評価すべき脆弱性を抱えています。
「SANS 脆弱性管理調査」では、増加する脆弱性をいかに管理し、直面する課題にどう対処するかについて調査が行われました。また、アタックサーフェスがどれほど急激に発展して変化したとしても、アタックサーフェス全体にわかる脆弱性を管理するための方法も提供されています。
- 脆弱性の数が増加するにつれて、頻繁な脆弱性スキャンの必要性がますます高まっている
- サイバーリスクを低減するために、日常的な自動スキャンを実行する
- アタックサーフェスは変化するため、継続的なスキャンを採用して、アタックサーフェスに対するリアルタイムに近いインサイトを得る
- 自動的にパッチを当てるツールを使用して、重要なソフトウェア、アプリケーションおよびオペレーティングシステムを最新の状態に保つ
コミュニティの力で脆弱性を管理する
脆弱性管理に関する Tenable の知識と会話が1か所に集結
Tenable に関するディスカッションは長い間、フォーラムサイトで行われてきました。ユーザーからフィードバックが共有され、質問が投げかけられ、知識が交換されてきました。今では、これらのフォーラムへの投稿が新しい Tenable Community の基盤となっています。Tenable Community は、Tenable や脆弱性管理について興味を持つ人々が集まり、アイディアを交換できる場所です。
まさに今、交わされている会話の一例です。
どうすれば Tenable.io で OS の脆弱性をフィルタリングできますか?
当社には、パッチを管理する個別のチームが存在します。一方は OS を管理し、もう一方はアプリケーションをサポートしています。パッチを当てる責任が他のチームにある項目がレポートやダッシュボードに含まれないようにするために、脆弱性ファミリーに基づいて別々のレポートやダッシュボードを用意したいと思っています。
回答を見るどうすれば Tenable.io からスキャン結果をエクスポートできますか?
この動画では、Tenable.io からスキャン結果をエクスポートする方法を実演しています。Tenable.io から脆弱性スキャンデータを .nessus ファイル、PDF、HTML、または CSV 形式で簡単にエクスポートできます。
ビデオを見る私のダッシュボード上で、アクティブな脆弱性が減少しているのはなぜですか?
全くパッチを当てていない、もしくは大規模にパッチを当てていない場合でも、スキャン環境に存在する脆弱性が、脆弱性管理ダッシュボード上で突然減少することがあります。これはなぜですか?
回答を見る脆弱性管理についてよくあるご質問
脆弱性管理についてよくあるご質問:
Tenable、The Forrester Wave™: 脆弱性リスク管理 (Q4 2019) でリーダーに選出
脆弱性のリスク管理ベンダーを評価する、アナリストガイドの決定版をご覧ください。
サイバーセキュリティを成功に導く脆弱性管理ソリューション
脆弱性管理は、組織の大きさに関わらず、組織のリスクを低減する方法の一つです。しかし、成功する脆弱性管理プログラムを作成することは、決して容易ではありません。そのためには、目標の設定、メトリクス、継続的な検出およびモニタリング、ならびに組織全体の当事者から賛同を得ることが必要となります。どこから手を付ければよいでしょうか。5つの簡単なステップで、脆弱性管理プロセスを強化することができます。
-
発見
適切なツールなくして、継続的な検出と環境に対する可視性を得ることは困難ですが、アタックサーフェスの盲点を検出し、予防する上で不可欠です。脆弱性管理を成功に導くために重要な最初のステップは、コンピューティング環境全体ですべての資産を検出し、マッピングすることです。
-
評価
次に、脆弱性、不適切な構成および他のセキュリティの健全性の指標などを含む、すべての資産の Cyber Exposure を評価します。包括的な脆弱性および不適切な構成の評価は、スキャンの実行だけにとどまりません。Tenable.io で利用できるような、さまざまなデータ収集技術を駆使して、組織の多様なセキュリティ上の問題を特定します。
-
分析
脆弱性管理プログラムを成功に導くための3つ目のステップは、セキュリティおよびビジネス目標に沿って、エクスポージャーを把握することです。これにより、資産の重要度、脅威コンテキストおよび脆弱性の重大度に基づいて修復を優先度付けすることが可能になります。
-
緩和
最初の3ステップが完了できれば、強力な脆弱性管理プログラムへと順調に近づいています。機械学習を活用することで、さらに踏み込んで将来の脅威アクティビティに関連する、隠れたデータパターンを見つけることができます。これにより、近い将来に悪用される可能性が最も高い脆弱性に対するインサイトが得られます。そこから、最初に緩和すべきエクスポージャーを優先度付けし、適切な修復方法を適用します。
-
検出
最後の推奨事項は、Cyber Exposure を測定し、ベンチマーキングを行うことで、よりよいビジネスおよび技術上の意思決定を行うことです。Tenable.io のレポートのカスタマイズにより、脆弱性管理プログラムの効率に関する理解しやすいデータ、およびプログラムの有効性を同じ業界の競合他社と比較するのに役立つ外部に対するベンチマーク指標が得られます。
脆弱性管理と Cyber Exposure からの保護
脆弱性管理となると、セキュリティチームの多くは、自分たちの部門またはチームの目標にしか集中しません。これまではある程度上手くいっていましたが、セキュリティ上の目標とビジネス目標とが一致した脆弱性管理プログラムの方が強力な場合がほとんどです。
脆弱性管理プログラムをビジネス目標と一致させることで、経営陣や役員が理解できるようにプログラムの成功を伝達するためのメトリクスをより簡単に作成し、分析することができます。これにより、強力なプログラムを構築して上層部からの支持が得られるようになり、プログラムを柔軟かつ拡張可能で、上手く機能させられるよう保つためのリソースにアクセスできるようになります。企業の脆弱性管理に関して、Tenable が推奨する5つのベストプラクティスがこちらです。
-
ゴールを設定する
測定可能で意味のある具体的な構成要素を特定し、次にアタックサーフェスの強化、資産インベントリおよびパッチの監査を開始しましょう。
-
データの正確性を担保する
脆弱性に対するビジビリティ (可視性) を狭めないようしましょう。アクションに結び付く、タイムリーで正確なデータにアクセスしましょう。
-
ギャップを解消する
信頼できるプロセスを維持して信頼を築くために、パッチの問題がある原因ををすばやく特定して、例外として追跡します。
-
独立性と衝突に対処する
効果的な脆弱性管理プログラムを作成するために、プロセスが組織内の個人やチームにどう影響するかを把握しましょう。
-
測定対象を知る
弱点を検出するために、測定は傾向ではなく、例外に集中すべきです。
盲点を排除して、生産性を高める。脆弱性に優先順位を付けしましょう。
Tenable.io のアクションに結び付く正確なデータは、IT 環境全体にわたって脆弱性の修復を特定、調査および優先度付けし、不適切な構成を緩和するのに役立ちます。無料でさっそく始めてください。
脆弱性管理のブログ記事
スプレッドシートを廃止して、脆弱性管理をグレードアップ
あなたは習慣にとらわれていませんか? 非効率であると分かっていても、スプレッドシートのような古いツールやリソースを使用して、脆弱性管理プログラムを管理してしまっていませんか? 実際、多くのセキュリティチームが同じことをしているかもしれません。多くの場合、所定の期間内に完了できないほど多くの業務を抱えているため、新しいソリューションにより時間を節約し、プログラムの効率を改善できるとしても、それを探すことに躊躇するかもしれません。Tenable.io は、これまでに得た知識やプログラムに投資した時間を無駄にすることなく、スプレッドシートから解放されることができる簡単な方法です。
セキュリティチームと脆弱性への対応
サイバーセキュリティチームの一員であれば、終わりの見えない脆弱性のリストが永遠と机に積まれていくのは日常茶飯事です。このことは今まで、ニュースヘッドライン、フォーラムや他の情報交換に基づいてさらに調査を行い、どの脆弱性が最も注目を集めているかを確認して、そこに労力を集中させることを意味していました。これでは、成功の見込みなどないように感じられるでしょう。Tenable の Predictive Prioritization は、こういった従来の脆弱性への対処方法を根本から変えようとしています。Predictive Prioritization により、データサイエンスと機械学習を活用することで、脆弱性を発見し、パッチを当てて、修復することが簡単になります。
脆弱性管理のファンダメンタルズ
新たに出現するセキュリティ脅威、目を引くツールや、変化する規制の中で、次の大きな問題に対するパッチ・修復業務に忙殺され、セキュリティの基本を見失うかもしれません。基本に立ち戻るための方法の一つは、組織の Cyber Exposure ライフサイクルに関してもっと良く知ることです。Cyber Exposure を使用することで、チームのセキュリティ目標と組織の経営目標とを一致させることができます。どこから手を付ければよいか分かりませんか? Cyber Exposure ライフサイクルの4つのステージを確認して、各ステージが脆弱性管理プログラムにおいて重要である理由を知ってください。
脆弱性管理・オン・デマンド
脆弱性管理のファンダメンタルズ:資産検出と分類
基本的な脆弱性管理の原則を使用して、アタックサーフェス全体にわたる資産の検出および管理という課題を克服しましょう。このウェビナーの詳細は、次のとおりです。
- 継続的な資産検出が重要である理由
- アタックサーフェス全体で異なる種類の資産を検出するためのデータ収集方法
- 資産の管理および分類プロセスを最大限に生かす方法
- 検出能力の改善および拡張に Tenable がいかに役立つか
Predictive Prioritization で脆弱性のオーバーロード問題を克服する
組織に影響を及ぼす3% の脆弱性だけを修復すればよいとしたらどうでしょう。このオンデマンドウェビナーの詳細は、次のとおりです。
- Predictive Prioritization と、それにより脆弱性の修復への取り組み方がいかに変わるか
- Predictive Prioritization の基となるデータサイエンス、リサーチおよび分析
- Tenable がどのように自社製品の Predictive Prioritization を活用しているか
- Predictive Prioritization が貴社の脆弱性管理プログラムを転換させる方法
資産および脆弱性の管理プロセスを最適化するための実際的なアプローチ
自動化により、最も重要な資産の管理、優先度付け、修復および追跡を合理化することで、セキュリティリスクを緩和できます。このウェビナーの詳細は、次のとおりです。
- 高度な脆弱性評価およびグループ分けの手法を使用して、プロセスを効率化する方法
- ビジネスへの影響度に基づいて、組織のリスクを優先度付けする方法
- 脆弱性ライフサイクルとは何か、および修復に向けてタイムライン追跡を使用する方法
脆弱性管理の基礎をマスターする: 分析と優先度付け
効果的に脆弱性の検出と評価ができるようになると、パッチを当てるための優先度付けや修復の改善に役立つデータへのアクセスなど、組織全体の Cyber Exposure に対するより深いインサイトが得られます。このオンデマンドウェビナーの詳細は、次のとおりです。
- CVSS スコアリングの価値と限界
- 近い将来、組織に影響を及ぼす可能性の高い脆弱性を見つける方法
- 資産の重要度が、いかに脆弱性管理プログラムの重要な部分を占めているか
Tenable.io: 最新の IT アタックサーフェスのための、業界をリードする脆弱性管理ソリューション
組織の IT 環境は急速に進化しています。そのため、ユーザーとともに進化して変化することができる脆弱性管理ソリューションが必要です。Tenable.io により、すべての資産および脆弱性に対する完全なインサイトを含む、アタックサーフェス全体についてのタイムリーで正確な情報を得ることが可能になります。クラウドで提供されるソリューションとして利用可能な Tenable.io は、脆弱性管理プログラムの効果と効率の向上に役立ちます。
評価
Tenable.io には、アクティブスキャン、エージェントスキャン、およびパッシブネットワークモニタリングに使用する Nessus センサーが付属しており、オンプレミスからクラウドにまたがるアタックサーフェスを可視性することができます。
Predictive Prioritization
Tenable.io は脆弱性データ、データサイエンスおよび脅威インテリジェンスを使用することで、組織に近い将来、最も大きな影響を及ぼす脆弱性を特定するのに役立ちます。
資産の追跡
最新の IT アタックサーフェスは、仮想マシン、クラウドインスタンスやモバイルデバイスなどの極めて動的な IT 資産で構成されています。Tenable.io は業界をリードする正確性で、資産とその脆弱性を追跡します。
ネットワークのパッシブモニタリング
ネットワークトラフィックを継続的にモニタリングすることで、スキャンしづらいデバイスや一時的に存在するシステムをアタックサーフェス全体にわたって検出し、評価できます。
クラウドの可視性
Tenable のクラウドコネクタにより、Microsoft Azure、Google Cloud Platform および Amazon Web Services 用のコネクタを介して、パブリッククラウド環境の継続的な可視化および評価が可能になります。
構築済みの統合と柔軟な API
構築済みの統合、および詳細に文書化された API や SDK リソースを使用することで、ワークフローを自動化して Tenable.io のデータを他のサードパーティーシステムと共有することができます。詳細については、developer.tenable.com をご確認ください。