あなたがセキュリティの担当者であれば、セキュリティ業界は脆弱性の存在の上に成り立っていることをご存知でしょう。脆弱性が存在するからこそ、最新の作業環境で働くどのような職位の人も、日々情報セキュリティを利用しています。
どの企業や組織においても環境は必ず変化するもので、脆弱性は常に発生し続けています。セキュリティのプロは、脆弱性に対処するための準備をしておく必要があります。脆弱性への対応策として、CISクリティカルセキュリティコントロールトップ3のうちの1つを実行しておけば、良い備えとなるでしょう。
その1つとは、脆弱性管理(VM)プログラムの実行です。VMプログラムは、組織に深刻なリスクをもたらす脆弱性を排除することを目的として、ITセキュリティチームまたはセキュリティサービスプロバイダーが実行する包括的なプロセスです。プログラムは以下の6つのステップで構成されます。
- 脆弱性を自動的に検出する
- 企業の資産の優先順位付けを行う
- それらの資産のリスク評価を行う
- 脆弱性を報告し、その内容を伝える
- 適切なパッチを適用して脆弱性を修復する
- その後、監査を行い脅威が削除されたか検証する
VMプログラムは、どの企業にも非常に高い効果をもたらします。適切に実行した場合、リスクを発見して対処することで企業のセキュリティ体制を強化できるだけでなく、データ侵害の可能性を抑えて、時間とコストを節約できます。
セキュリティチームは、脆弱性管理プログラムを開始して、計画通りに動作することを目標とするべきです。脅威を緩和して、企業環境の安全性を高めることが、セキュリティチームの仕事であるからです。この記事では、セキュリティチームの目標到達を妨げる4つの問題について説明し、それらを解決するために企業が取り入れることのできる解決策を紹介します。
1.リソース不足
中小規模の企業では、情報セキュリティプログラムのための予算が確保できないという問題がよくあります。ビジネスの継続性にとってサイバーセキュリティがいかに重要であるかを経営幹部がよく理解していないために、壊滅的な結果がもたらされることは、決して驚くことではありません。経営幹部は、セキュリティプログラムがもたらすROIを確認できなければ、その重要性を真剣に捉えたり、企業文化に取り込もうとしたりしないものです。
また、セキュリティへの理解が得られず、予算不足に陥ると、効果的なVMプログラムを確立するために必要な人材を確保できなくなります。ですから、侵害によって企業が被ることになる経済的損失と評判を失うリスクを経営陣によく説明して、VMプログラムに投資するよう説得することをお勧めします。
彼らは金を失うことを何より恐れています。データ侵害によって他の企業や競合他社が受けた莫大な被害額の統計や例を見せてあげてください。
2.リスクの不適切な順位付け
技術の進化に伴い、数多くの脆弱性が毎日新たに生まれています。それらはセキュリティチームにさまざまな問題をもたらしています。たとえば、「脆弱性が企業の資産にもたらすリスクに基づいた優先順位付けが実行されていない」というのも、そのひとつです。セキュリティチームはすべての脆弱性を修正できるわけではありません。そのため、企業の資産にとって最も危険な欠陥を優先させるべきです。脆弱性の重大度が当てにならないこともあります。しかし、脆弱性プログラムの開始時に策定した計画に基づいて、脆弱性の優先順位付けを行うのが一般的なやり方です。
3.チーム間のコミュニケーション不足
どのような企業においても、コミュニケーションは重要な要素です。コミュニケーションがビジネスの成否を握っているとも言えるでしょう。VMプログラムの開始にあたり、ITチーム、ITセキュリティチーム、経営陣のコミュニケーションが不十分だと、VMプログラムの効果が弱まるという問題が発生します。このような問題は、計画段階で経営幹部がプログラムに対して誤った期待を抱いていたり、サイバーセキュリティについて話し合う場への出席を拒否したような場合に発生します。
もちろんセキュリティチームは、経営幹部のサポートなしでも脆弱性スキャンを実行できるでしょう。しかし、脆弱性プログラムの重要性を知ってもらう必要があるのです。たとえば、セキュリティチームがスキャンを完了したときに、発見した問題をIT部門に知らせたいと思うでしょう。IT部門に問題を真剣に捉えてもらうには、企業幹部のサポートを得ることが重要なカギとなります。残念ながら、ほとんどのITセキュリティのプロたちはこれができていません。セキュリティはすべての人に関係します。ですから、VMプログラムが「企業のセキュリティ強化」という重大な役割を担うことを、声を大にして訴えることが大切です。
4.脆弱性管理プログラムの継続性の問題
VMプログラムを成功に導くカギの1つは、VMプログラムを、半年ごとに1回や2回実施するものではなく、年間を通して実行しつづける継続的なアプローチであると捉えることです。企業が脆弱性の流れを制御して、継続的に修正することができなければ、いわゆる「Vulnerability Debt(脆弱性の負債)」が発生します。すると、企業のネットワークは、潜在的なサイバー攻撃に対して無防備な状態に陥ります。
不定期のスキャンでは、企業の安全性のニーズに応えることはできません。CISセキュリティコントロールの推奨事項に従って、毎週自動的に資産をスキャンするのが正しいやり方です。それにより、対策の遅れによって、業務の中断が発生することはなくなるでしょう。
まとめ
セキュリティプログラムには問題の是正が重要です。経営陣のサポートがあれば、セキュリティのプロは、ほとんどの問題を解決することができるでしょう。経営陣は、サイバーセキュリティについて熟慮して、それがどの企業にとっても必要不可欠なものであるという事実を受け入れなければなりません。企業がデジタルセキュリティを軽視すれば、ハッカーらが容赦のない攻撃を仕掛けてくることを理解すべきでしょう。
執筆者について:Amine Amhoume( @AmiineQu)は、フリーランスのコンテンツライターでありホワイトハッカーです。Cadi Ayyad大学、英文学部卒業。テクノロジー系スタートアップ企業に対し、リードを創出し、オーディエンスを魅了して教育するためのコンテンツを提供しています。彼のキャリアは、サイバーセキュリティと英語への情熱によって支えられています。
編集者注:ゲスト執筆者による本記事の意見は、筆者自身の意見であり、必ずしもTripwire Inc.の意見を反映するものではありません。
トリップワイヤ・ジャパンでは脆弱性管理、法規制遵守、インシデント対応やサイバーセキュリティに関する有益な情報をお届けしております。すべてのカタログ、セキュリティに関する情報はこちらからダウンロードいただけます。Tripwireセキュリティ リソース
