脆弱性の管理の定義
脆弱性の管理とは、継続的かつ先回り型で多くの場合は自動化されるプロセスによって、コンピューター システム、ネットワーク、エンタープライズ アプリケーションをサイバー攻撃やデータ侵害から安全に守ることです。したがって、全体的なセキュリティ プログラムの中の重要な部分の 1 つです。潜在的なセキュリティの弱点を特定し、評価し、対処することは、組織への攻撃を防ぐのに役立ち、実際に攻撃されたとしても損害を最小限に抑えることができます。
脆弱性の管理の目標は、組織の全体的なリスク暴露を縮小することであり、そのためにできるだけ多くの脆弱性を緩和することです。潜在的な脆弱性の数と、修復に使える限られたリソースを考えると、これは決して簡単なタスクではありません。新たに登場する脅威と変化する環境に後れを取らないようにするために、脆弱性の管理は継続的なプロセスとして行う必要があります。
脆弱性の管理のしくみ
脅威と脆弱性の管理では、サイバー脅威の防止と対処のためにさまざまなツールとソリューションが使用されます。効果的な脆弱性管理プログラムには一般的に、次のコンポーネントが含まれています。
資産の検出とインベントリ
IT 部門は会社のデジタル環境全体のすべてのデバイス、ソフトウェア、サーバー、その他の記録の作成と維持について責任を負いますが、これはきわめて複雑になることがあります。多くの組織は数千もの資産を保有し、場所も複数に分かれているからです。このような理由で、IT 担当者は資産インベントリ管理システムを利用しています。これは会社が保有している資産は何で、どこにあり、どのように使用されているかを可視化するのに役立ちます。
脆弱性スキャナー
脆弱性スキャナーのしくみは通常、一連のテストをシステムとネットワークに対して実行して一般的な弱点や欠点を探すというものです。このテストの内容としては、既知の脆弱性の悪用を試みる、既定のパスワードまたはユーザー アカウントを推測する、あるいは単に制限エリアへのアクセス獲得を試すといったものがあります。
パッチ管理
パッチ管理ソフトウェアは、最新のセキュリティ パッチを適用して組織のコンピューター システムを最新バージョンに保つのに役立つツールです。多くのパッチ管理ソリューションは自動的に更新プログラムの有無を調べて、新しい更新プログラムがある場合はユーザーに通知します。パッチ管理システムの中には、組織内の複数のコンピューターにパッチを展開できるものもあり、保有する大量のマシンのセキュリティを保つのが容易になります。
構成管理
セキュリティ構成管理 (Security Configuration Management: SCM) ソフトウェアは、セキュリティを保つようにデバイスが構成されていることと、デバイスのセキュリティ設定の変更が把握されて承認されていること、およびシステムがセキュリティ ポリシーに準拠していることの保証に役立ちます。多くの SCM ツールは、組織のデバイスとネットワークをスキャンして脆弱性を発見し、修復アクションを追跡し、セキュリティ ポリシー遵守についてのレポートを生成するための機能を備えています。
セキュリティ インシデント イベント管理 (SIEM)
SIEM ソフトウェアによって、組織のセキュリティ情報とイベントがリアルタイムで集められます。SIEM ソリューションの目的は、組織のデジタル資産全体 (これには IT 基盤も含まれます) で何が起きているかをすべて可視化できるようにすることです。これに含まれるものとしては、ネットワーク トラフィックの監視、内部システムに接続しようとしているデバイスの特定、ユーザー アクティビティの追跡などがあります。
侵入テスト
侵入テスト ソフトウェアは、IT 担当者がコンピューター システム内の脆弱性を見つけて悪用できるように設計されています。一般的に、侵入テスト ソフトウェアには攻撃をしかけてその結果を見ることが簡単にできる GUI (グラフィカル ユーザー インターフェイス) が付属しています。製品の中には、テスト プロセスのスピードアップに役立つ自動化機能を持つものもあります。実際の攻撃者に悪用されるおそれのあるシステム内の弱点を、攻撃シミュレーションで特定できます。
脅威インテリジェンス
脅威に対する保護 のソフトウェアは潜在的な脅威の追跡、監視、分析、優先度付けの機能を備えており、組織の保護を強化するのに役立ちます。このようなソリューションではさまざまなソース、たとえば悪用データベースやセキュリティ アドバイザリからのデータが収集されるので、将来のセキュリティ侵害や攻撃を示す可能性のある傾向とパターンを特定するのに役立ちます。
脆弱性を修復する
修復作業では、脆弱性の優先度を決定し、次の適切なステップを特定し、修復チケットを生成します。これで IT チームが作業を実施できます。最後に、修復追跡は脆弱性や構成の誤りが適切に対処されたことを保証するための重要なツールです。
脆弱性の管理のライフサイクル
脆弱性管理のライフサイクルには、6 つの主要フェーズがあります。組織の脆弱性管理プログラムを実施したい、またはプログラムをより良いものにしたいと考えているときは、次のステップに従ってください。
-
フェーズ 1: 検出
組織のネットワーク全体から資産の完全なインベントリを作成します。自動化スケジュールに従って脆弱性を特定することで、組織のセキュリティ プログラムのベースラインを作成します。会社の情報に対する脅威に常に先回りできるようにするためです。
-
フェーズ 4: レポート
次に、各資産に伴うリスクのさまざまなレベルを、評価の結果に基づいて決定します。続いて、セキュリティ計画を文書化し、既知の脆弱性を報告します。
-
フェーズ 2: 資産の優先度決定
各資産グループに、その重要性を表す値を割り当てます。これは、どのグループがより注意を必要としているかを理解するのに役立つとともに、リソース割り当ての意思決定プロセスを効率化するのに役立ちます。
-
フェーズ 5: 修復
これで、どの脆弱性が自社のビジネスにとって最も差し迫っているかがわかったので、修復します。これは、最もリスク レベルが高いものから行います。
-
フェーズ 3: 評価
脆弱性管理のライフサイクルの 3 番目の部分は、組織の資産の評価 (アセスメント) を実施して各資産のリスク プロファイルを理解することです。これで、どのリスクを最初に解消すべきかをさまざまな要因 (重大性と脆弱性脅威レベル、および機密分類など) に基づいて決定できます。
-
フェーズ 6: 確認と監視
脆弱性管理プロセスの最後のフェーズでは、通常の監査とプロセス フォローアップを使用して、脅威が解消されたことを確認します。
脆弱性の管理の利点
脆弱性の管理は、潜在的なセキュリティの問題がサイバーセキュリティ上の深刻な懸念になる前に特定して修正するのに役立ちます。脆弱性の管理によってデータ侵害などのセキュリティ インシデントを防止することができるので、企業の評判と業績へのダメージを防止することができます。
加えて、脆弱性の管理によってセキュリティ関連のさまざまな標準と規制への準拠を向上させることができます。そして、組織の全体的なセキュリティ リスク態勢と、改善が必要な場所をより良く理解するのに役立ちます。
今日のハイパーコネクテッドな世界では、時々セキュリティ スキャンを実行してサイバー脅威に事後対応するのでは、十分なセキュリティ戦略とはいえません。堅実な脆弱性管理プロセスは、その場限りの対応に比べて次の 3 つの点で有利です。
セキュリティとコントロールが向上
定期的なスキャンで脆弱性を見つけて適切なタイミングでパッチを適用していれば、組織のシステムは攻撃者から見てアクセスが大幅に困難になります。加えて、堅牢な脆弱性の管理の実践は組織のセキュリティ態勢における潜在的な弱点を、攻撃者に見つかる前に特定するのに役立ちます。
可視化とレポート
脆弱性の管理によって組織のセキュリティ態勢の最新の状態が一元的に、正確に報告されるので、あらゆるレベルの IT 担当者が潜在的な脅威と脆弱性をリアルタイムで把握できます。
オペレーションの効率
セキュリティのリスクを理解して緩和することによって、システムのダウンタイムを最小限に抑えてビジネスのデータを保護することができます。脆弱性管理プロセス全体を向上させることは、インシデントが実際に発生した場合の回復に要する時間の短縮にもつながります。
脆弱性を管理する方法
脆弱性管理プログラムを制定したら、次に示す 4 つの基本ステップで既知および潜在的な脆弱性と構成の誤りを管理します。
ステップ 1: 脆弱性を特定する
スキャンして脆弱性と構成誤りを見つけることは、多くの場合、脆弱性管理プログラムの中心となります。脆弱性スキャナーは一般的に、継続的かつ自動的に実行されるものであり、これによって弱点、脅威、潜在的脆弱性の特定をシステムとネットワークのすべてにわたって行います。
ステップ 2: 脆弱性を評価する
潜在的な脆弱性と構成の誤りが特定されたら、それが真の脆弱性かどうかを検証し、リスクに応じて等級を付け、そのリスク等級に基づいて優先度を付ける必要があります。
ステップ 3: 脆弱性に対処する
評価の後に、既知の脆弱性と構成誤りを処理する方法についてはいくつかの選択肢があります。最善の選択肢は修復することであり、つまりその脆弱性を完全に修正する、またはパッチを適用することです。完全修復が不可能な場合も、緩和は可能です。つまり悪用の可能性を減らすこと、または損害の可能性を最小限に抑えることです。最後は、その脆弱性を受け入れるというものです。たとえば、それに伴うリスクが低いときですが、アクションは何も取りません。
ステップ 4: 脆弱性を報告する
脆弱性が処理された後で重要なことは、既知の脆弱性を文書化して報告することです。これは、IT 担当者が脆弱性の傾向を自社のネットワーク全体にわたって追跡するのに役立ち、セキュリティ関連のさまざまな標準と規制に組織が準拠した状態を確実にすることにも役立ちます。
脆弱性の管理のソリューション
言うまでもなく、堅実な脆弱性の管理プロセスを制定しておくことは賢明な判断であるだけでなく、必須です。チーム間のギャップを橋渡しし、リソースを最大限に活用し、可視化、評価、修復の機能をすべて 1 つの場所で提供する脆弱性の管理のソリューションを見つけることが重要です。
よく寄せられる質問
-
-
脆弱性の管理は、情報技術に依存するどの組織においても、既知と未知の脅威から保護するために必須です。今日のハイパーコネクテッドな世界では、新しい脆弱性が次々と発見されているため、その管理のプロセスを制定しておくことが重要です。脆弱性の管理のプログラムを実施することによって、悪用のリスクを縮小して潜在的な攻撃から組織を安全に守ることができます。
-
脆弱性の管理と評価の一番の違いは、脆弱性の管理は継続的なプロセスですが、脆弱性の評価 (アセスメント) は 1 回限りであることです。脆弱性の管理とは、脆弱性の特定、評価、処理、報告を継続的に行うプロセスです。一方、評価とは各脆弱性のリスク プロファイルを特定するという行為です。
-
脆弱性スキャンとは、既知および潜在的なセキュリティ脆弱性を特定するプロセスです。脆弱性スキャナーは、手作業で運用されることも自動化されることもありますが、さまざまな方法を使ってシステムとネットワークを探査します。脆弱性が見つかった場合は、スキャナーがそのエクスプロイト (悪用) を試みます。この目的は、ハッカーにも悪用される可能性があるかどうかを判断することです。この情報は、組織がシステムにパッチを適用するために、および全体的なセキュリティ態勢を向上させる計画を作成するために使用できます。
-
脆弱性の管理にはさまざまな方法がありますが、一般的なものは次のとおりです。
- 脆弱性スキャン ツールを使用して潜在的な脆弱性を、実際に悪用される前に特定する
- 機密性の高い情報とシステムへのアクセスを、許可されたユーザーに限定する
- ソフトウェア更新とセキュリティ パッチを定期的に行う
- 攻撃に対して防御するためのファイアウォールや侵入検出システムなどのセキュリティ対策を導入する
Microsoft Security をフォロー