サイバー脅威の環境の進化は、サイバーリスクが本格的なセキュリティインシデントへと発展する前に、組織がリスクを特定、分析、評価する機能を強化する必要性を浮き彫りにしています。サイバーリスクの低減に関連するパッチ管理と脆弱性管理という2つの用語は、同じ意味であるかのように扱われていますが、実際には別物です。パッチの適用は、サイバーリスクを軽減するための数多くある方法の1つであるために、これらは混同されています。
特定のパッチを展開するか、あるいは無視するかの決断は、大きな意味で脆弱性管理の範疇に入ります。「IT上の脆弱性の悪用をプロアクティブに軽減または防止するために特別に設計されたセキュリティ対策」と定義される脆弱性管理は、独立したスキャンおよびパッチ機能ではありません。それは、展開されたハードウェアデバイスやソフトウェア内で発見された脆弱性に対処するという困難なタスクの管理をプロアクティブに捉えるという全体的な機能なのです。脆弱性管理は、簡単に言うならば、パッチ管理の上位集合です。
脆弱性管理とは、インフラストラクチャーにパッチの適用が必要なときにアラートを受け取るということだけではありません。脆弱性管理とは、十分な情報に基づいた意思決定を行い、どの脆弱性をどのように軽減するかについて、適切な優先順位付けを行うことです。このことは、対象となるすべてのシステムにテレメトリ用の内部フックと、あらゆるソースからの脅威インテリジェンス用の外部フックを埋め込むことで実現されます。
脆弱性管理は、「攻撃者が特定の脆弱性を標的にして他の脆弱性を無視する理由とその方法」をより深く理解することを助ける優れた脅威インテリジェンスによって支持される必要があります。脆弱性の悪用可能性に関するインテリジェンスを利用することで、組織は「脆弱なシステムへのパッチ適用」と「ビジネスオペレーションの中断」との間で、適切なバランスを取れるようになるでしょう。脆弱性管理のリスクベースのアプローチは、セキュリティチームやオペレーションチームだけでなく、上級管理者や企業幹部にまで脆弱性の危険性を伝達することをはるかに簡単にします。脆弱性に関する決断の背後にある論理的根拠をこのようなレベルで可視化すると、セキュリティチームに対する信頼が組織全体で高まるとともに、Equifaxが被ったようなデータ侵害の発生を防ぐうえでも役立ちます。
成熟した脆弱性管理プログラムのステージ
効果的な脆弱性管理プログラムには、次のような4つの主要なステージがあります。
- 資産の重要度、資産の所有者、スキャンの頻度を決定し、修復のスケジュールを設定するプロセス
- ネットワーク上の資産の検出とインベントリ作成
- 検出した資産上の脆弱性の検出
- 検出した脆弱性のレポートと修復
最初のステージは、測定可能かつ再現可能なプロセスの構築に焦点を当てています。ステージ2からステージ4は、継続的な改善を重視してプロセスを実行することに焦点を当てています。
それでは、各ステージの概要と、Tripwireがどのように御社を支援できるかについて説明します。
ステージ1:脆弱性スキャンプロセス
ステージ1は4つのステップに分割できます。最初のステップでは、組織内の資産の重要度を特定します。保護が必要な資産を特定できなければ、効果的なリスク管理プログラムは構築できません。このような資産には、組織のネットワーク上のコンピューティングシステム、ストレージデバイス、ネットワーク、データタイプ、およびサードパーティ製のシステムが含まれます。資産は、実際に内在する「組織に対するリスク」に基づいて分類およびランク付けする必要があります。資産に内在するリスクを明らかにするには、上位クラスの資産との物理的・論理的な関係、ユーザーアクセス、システムの可用性などの多くの側面を考慮しなければなりません。重大度が高い資産は、重大度が低い資産よりも優先順位が高くなります。ただし、重要度の低い資産の修復も、無視したり、無期限に延期すべきではありません。すべての資産は組織全体のリスクに影響するものであり、修復作業は常に全体的なリスクの最小化を念頭に行う必要があります。
第2のステップでは、各システムの所有者を特定します。システムの所有者は、資産、それに関連するリスク、およびその資産が侵害された場合の不利益に対して責任を負います。アカウンタビリティは、脆弱性管理プログラムを最終的な成功に導くための要因となります。所有者不明の資産やその脆弱性は忘れ去られ、組織に未知のリスクをもたらすでしょう。
第3のステップは、スキャンの頻度を決定することです。CISが推進するCISコントロール3「継続的な脆弱性管理」では、組織が「最新の脆弱性スキャンツールを使用して、週単位またはそれ以上の頻度でネットワーク上のすべてのシステムを自動的にスキャンし、組織のシステム上の潜在的な脆弱性をすべて特定する」ことを推奨しています。頻繁にスキャンを行うことにより、資産の所有者は、修復の進行状況を追跡して新しいリスクを特定し、更新された情報に基づいて、修復する脆弱性の優先順位を再定義することができます。脆弱性スキャンは、少なくとも毎月1度は行うべきです。
第4のステップでは、修復のスケジュールとしきい値を決定して文書化します。修復のスケジュールは、既知の脆弱性が悪用された場合に組織全体に及ぶ影響の深刻度を考慮して決定する必要があります。影響の可能性が最も高い脆弱性は、ただちに修復しなければなりません。プログラムでは、承認された期間内に脆弱性を修復できない場合の免除にも対応する必要があります。修復除外プロセスでは、特定の日付までに脆弱性を修復するためのアクションプランとともに、容認されるリスクを文書化します。
ステージ2:資産の検出とインベントリ作成
資産の検出とインベントリ作成は、CISコントロールの1番と2番に該当します。これらは、あらゆるセキュリティプログラムの基盤となるものです。存在を知らないものを保護することはできません。CISコントロール1は、「ネットワーク上のすべてのハードウェアデバイスを能動的に管理(インベントリ作成、追跡、修正)し、アクセス権限を許可されたデバイスだけに付与する。また、許可されていないデバイスや管理されていないデバイスを検出し、これらのデバイスがアクセス権限を取得することを防止する」ことを目的としています。さらに、CISコントロール2では、「ネットワーク上のすべてのソフトウェアを能動的に管理(インベントリ作成、追跡、修正)し、許可されたソフトウェアだけをインストールし、実行可能とする。また、許可されていないソフトウェアや管理されていないソフトウェアを検出し、不正なソフトウェアのインストールと実行を防止する」ことの必要性を強調しています。
これら2つのコントロールは密接に関係しています。なぜならば、攻撃者らはシャドーITのような組織のネットワークに入り込もうと、簡単に悪用できるシステムを常に探しているからです。資産の検出とネットワークアクセス制御が適切に行われなければ、このようなデバイスは、企業ネットワークに簡単にアクセスするためのゲートウェイとして攻撃者に利用されてしまいます。ネットワークにいったん入り込んだ攻撃者は、手にした制御権を利用して、別のシステムを攻撃したり、ネットワークにより深く侵入することを可能にします。情報セキュリティチームがネットワーク上に存在する資産を把握していれば、それらをより確実に保護し、資産がもたらすリスクを低減する為のガイダンスをシステムの所有者に提供できるようになります。
ステージ3:脆弱性の検出
ネットワーク上のすべての資産が特定されたら、次のステップで、各資産に内在する脆弱性のリスクを特定します。ここで推奨する方法は、認証情報を使用した脆弱性スキャンです。それにより、組織の脆弱性リスクの判定をさらに正確に実行できます。その後、検出・インベントリ作成のステージで検出されたOSおよびインストールされているアプリケーションに固有の脆弱性シグネチャを使用して、内在する脆弱性を特定できます。
ステージ4:レポートと修復
脆弱性スキャンが完了すると、脆弱性を悪用するために必要なスキル、悪用に成功したときに得られる権限、および脆弱性の存在期間に基づいた指数関数型のアルゴリズムを使用して、各脆弱性にスコアが付けられます。脆弱性の悪用が容易であり、得られる特権が高いほど、リスクスコアは高くなります。これに加えて、脆弱性の存在期間が長くなると、脆弱性のスコアも上がります。
最初に取得すべき指標は、組織全体のベースライン平均リスクスコアです。組織はこの指標に基づいて、毎年20〜25%のリスクを削減することを目指すとよいでしょう。次の指標は所有者ごとの平均リスクスコアです。組織全体の目標と同様に、各所有者は、組織において許容されるしきい値を下回るまで、平均リスクスコアを前年比で10〜25%削減することを目標にすべきです。プログラムの成功を促進するために、このスコアが最も小さい資産の所有者に経営幹部が賞を与えるという方法もあります。
どの脆弱性を修復するかを示す経験的な脆弱性データを得て、修復の方法を知ることで、システムの所有者は、組織全体のリスクを最も軽減させる脆弱性に注目して、取り組みに優先順序を付けることができます。新しい脆弱性スキャンを実行する際には、CISが提供する指標などを使用して、リスクの傾向分析を行ったり、修復の進捗を確認できます。
月ごと、四半期ごと、および年ごとの進捗を確認することが重要です。脆弱性リスクのスコアと是正に至るまでの時間は、チームがプロセスに精通し、攻撃者がもたらすリスクについてより深く学ぶにつれて減少するはずです。
Tripwireによる支援
脆弱性・リスク管理は継続的なプロセスであり、サイバーセキュリティ上の脅威の環境の変化に継続的に適応させる必要があります。したがって、プロセスは定期的に見直す必要があり、スタッフは最新の脅威とその傾向について最新の情報を仕入れなければなりません。人材、プロセス、テクノロジーの継続的な進歩により、企業の脆弱性・リスク管理プログラムの成功が保証されます。
比類のない脆弱性管理プログラムをお探しであれば、御社が求めるソリューションはTripwire IP360に他なりません。Tripwire IP360では、脆弱性スキャンを実行する前に、組織内のすべての資産と、そこで実行されているアプリケーションを検出します。認証済み脆弱性スキャンでは、攻撃者が外部の非認証脆弱性スキャンを通して発見できる脆弱性をも特定し、詳細な分析を行えます。さらに、Tripwire IP360は、意味のあるリスクスコアリングを行い、影響度、悪用の容易さ、および存在期間に基づいて脆弱性を数値的にランク付けします。
成熟した脆弱性管理プログラムを構築する方法の詳細は、こちらのホワイトペーパーでご覧いただけます。
トリップワイヤ・ジャパンでは脆弱性管理、法規制遵守、インシデント対応やサイバーセキュリティに関する有益な情報をお届けしております。すべてのカタログ、セキュリティに関する情報はこちらからダウンロードいただけます。Tripwireセキュリティ リソース
