脆弱性管理プログラムは、企業のインフラやアプリケーションにリスクをもたらす可能性のある脆弱性を体系的に特定、評価、優先順位付け、軽減するものです。 最新の脆弱性管理プログラムは、自動化、脅威インテリジェンス、およびデータサイエンスを組み合わせて、どの脆弱性が特定の環境にとって最大のリスクとなるかを予測します。

なぜ脆弱性管理プログラムは重要なのか

デバイス、ネットワーク、アプリケーションで観察される脆弱性の数は、近年劇的に増加しました。 National Vulnerability Databaseを見ると、Common Vulnerabilities and Exploits（CVE）の数が2016年から3倍になっていることがわかります。

また、それらの脆弱性を悪用するための高度に洗練された取り組みも増加しています。 Identity Theft Resource Center（ITRC）によると、記録されたデータ侵害の数は2018年から2019年にかけて17%急増しました。 2020年の最初の2カ月間だけで、11,476件の侵害で16億6,000万件の記録が暴露されました。

しかし、ほとんどの企業はまだ十分な備えができていません。 2019年、PwCは、”サイバーセキュリティ攻撃に対する十分な備えをしている企業は、世界的に見ても半数以下である “ことを明らかにしました。 サイバー犯罪者はより高度になっており、組織はチームのサイバーセキュリティのスキルセット、ツール、プロセスがこれらの脅威に対処できるようにするのに苦労しています。

これらすべては、企業にとって実際のコストとなるものなのです。 サイバーセキュリティ・ベンチャーズは、2021年までに、サイバー犯罪による被害額は年間6兆ドル（2015年の3兆ドルから増加）にのぼると予測しています。

脆弱性と多様な攻撃が増え続ける中、インフラ、アプリケーション、およびデータを適切に保護するためには、脆弱性管理プログラムが必要です。

従来の脆弱性管理プログラムは、これに対応できますか。 また、脆弱性の巨大なスプレッドシートを使い続け、直感、脆弱性の公開プロファイル、または影響を受ける資産の数に基づいて分類している企業もあります。 しかし、攻撃者がより巧妙になり、インフラストラクチャがより複雑で繊細、かつ広大になるまで、ほとんどの場合、脆弱性管理プログラムに対するこの基本的なアプローチは有効でした。

今日の組織にとって問題なのは、こうした従来の脆弱性管理プログラム モデルでは、脆弱性が特定の組織にもたらすリスクを正確に評価するために必要なコンテキストなしに、脆弱性に優先順位を付けようとすることを余儀なくされていることです。 たとえば、ある脆弱性が新聞の見出しを飾り、利害関係者や経営陣の不安を煽るようなことがあったとします。 このような状況下では、多くの脆弱性にパッチが適用されています。 しかし、多くの場合、その脆弱性は業界内で活発に悪用されているものではないかもしれません。言い換えれば、インフラストラクチャに対するリスクは比較的低いと言えます。 このような背景があれば、どのような脆弱性を修正する価値があるのかを判断し、見出しになるような脆弱性の修正を優先しないという決定を周囲に擁護することができます。

ここで、組織の脆弱性のうち悪用される可能性があるのはわずか 2 ～ 5% であることを考慮してください。 従来の脆弱性管理方法は、武器化される可能性が最も高い脆弱性をピンポイントで特定する上で、あまり役に立ちそうにありません。 脆弱性スキャナとCVSSスコアは、ITおよびセキュリティチームに、各脆弱性が組織にもたらす具体的なリスクについての洞察をほとんど提供しません。

このため、セキュリティ チームは IT 部門と DevOps に大量の脆弱性を修正するよう強要しますが、結局はリスクが下がらず、より戦略的で有意義なイニシアチブに専念できる貴重なサイクルを浪費することになります。 セキュリティチームとITチームの間の摩擦は、従来の脆弱性管理プログラムを持つ組織がよく知るところです。

従来の脆弱性管理プログラムとリスクベースの脆弱性管理プログラム

従来の方法に対するより現代的な代替案は、リスクベースの脆弱性管理と呼ばれ、データサイエンス、リアルタイムの脆弱性情報、自動化を注入し、組織に対して実際に脅威となるリスクをよりよく分離して理解するための優先的かつ効率的なアプローチを作成することです。 時間の節約、より効率的な修復ワークフローの構築、リスクプロファイルの低減を目指す企業は、リスクベースの脆弱性管理に着目しています。

主要なアナリストによると、脆弱性管理プログラムの未来はリスクベースであるとのことです。 ここ数カ月、脆弱性と脅威が増加し進化し続ける中、ガートナーは、リスクに基づく脆弱性の優先順位付けの必要性を認識しています。 “ガートナーは、構成上の問題や脆弱性について資産を評価し、組織に対するリスクに基づいて、その評価で行うことに優先順位を付けられるようにすることの重要性を呼びかけています。”

また、昨年末、Forresterは、リスクベースの優先順位付けが、将来の最新の脆弱性管理プログラムを定義するだろうと観察しています。

脆弱性管理プログラムを構築するためのステップとは？

脆弱性管理プログラムを確立または強化しようとしている組織は、以下の 6 つの重要なステップを踏むことから始める必要があります。 必要なキーパーソンをすべて特定し、プログラムの土台作りを始める。 組織には、脆弱性管理を担当するセキュリティディレクターまたはマネージャー、および環境全体の脆弱性を特定、追跡、評価するアナリストが少なくとも1人いることが多いものです。 脆弱性の修正を担当する修正チームのメンバーは、IT 部門、DevOps 部門、および AppSec 部門など、複数の部門にまたがっている場合があります。 セキュリティチームが使用する一般的な脆弱性発見ツールは、環境内の脆弱性を発見します。 これらの脆弱性が特定されると、構成管理データベースは、組織内のすべてのハードウェアおよびソフトウェア資産に関する詳細な情報を提供します。 脆弱性管理ソリューションは、この取得したデータの意味を理解し、分類することで、組織に最大のリスクをもたらす上位の脆弱性を特定します。 これらは、IT および DevOps と共有される修復ワークフロー (通常はチケッティングシステムを使用) に組み込まれます。 組織内の資産と既知の脆弱性を理解し、脅威のインテリジェンスと照らし合わせる。 これは、潜在的な悪用による影響を判断するのに役立ちます。これは、リスクを判断するもう一つの重要な要素です。 CVE リスト、CPE (Common Platform Enumeration) および CWE (Common Weakness Enumeration) 情報などのツールは、手始めにはなりますが、効果的に相互参照するには、最新の脆弱性管理プログラムだけが組み込んでいる幅広い実世界のデータが必要です。 現在の資産と組織の許容できるリスクレベルを理解することは、効果的な優先順位付けに不可欠です。 このツールは、サーバー、ワークステーション、仮想マシン、ストレージアレイ、およびネットワークデバイスなどの資産を識別するために組織をスキャンします。 リスク許容度は、業界や特定の会社のガイドラインによって決定されるかもしれません。 社内の情報源から、ビジネスの他の側面に関わるリスク評価ガイドラインを探し出してください。 具体的な脆弱性については、どの程度のリスクを許容できるのか、また、今修正するのか待つのかのトレードオフを理解することが重要です。 これは、脆弱性管理プラットフォームの選択が重要になる段階です。 組織に適したプラットフォームを検討する際には、実世界の脆弱性インテリジェンス、データサイエンス、自動リスク分析、カスタマイズされたリスク指標、さらにはリスクベースの SLA を統合しているものを探すとよいでしょう。 最新の優れたプラットフォームは、これらすべてを組み合わせて、シンプルで理解しやすく、再現性のある指標（スコア）を作成します。

リスクベースの最新の脆弱性管理プログラムを実装する方法を学ぶ

企業が最新の脆弱性管理プログラムを確立する必要性は明らかです。 従来の脆弱性管理の方法に頼ると、修復チームは、全体的なリスクを低減できないかもしれない脆弱性を追い求め、ワークフロー内で非効率的な作業を行うことになります。 最新の脆弱性管理プログラムにより、組織は脅威に対してプロアクティブかつデータ主導の姿勢を取り、社内業務を合理化して時間とコストを削減し、無駄な努力を減らし、チーム間のコラボレーションを改善し、リスクプロファイルに有意義な影響を与えることができるようになるのです。

リスクベースの脆弱性管理プログラムの実装方法に関する詳細については、「How to Implement Risk-Based Vulnerability Management Now」をダウンロードしてください。 A Practical Guide」をご覧ください。 実用的なヒントとベスト プラクティスを満載したこの eBook は、今日の進化する脅威の状況における最新の脆弱性管理プログラムの重要性を詳述し、上記のリスクベースの脆弱性管理プログラムを確立するための 6 つの主要なステップを詳細に説明します。