脆弱性管理戦略をクリエイティブに遂行しよう

avatar

 2019.01.23  Japanブログ編集部

脆弱性管理ツールのほんの一部の機能しか使用していない企業を探すのは非常に簡単です。なぜならば、多くの企業は、コンプライアンスの義務を果たすことに重点を置いているからです。たとえば、PCI DSS 3.2.1では、「四半期ごとの内部脆弱性スキャンを実施する」ことを要求しています。しかし、四半期に一度しか使用しないツールの機能を理解するのは難しいものです。

また、効果的な脆弱性管理プログラムが重要であることは、CISコントロールをはじめとするほとんどすべてのセキュリティフレームワークでその重要性が説かれていることにより明らかです。

CISコントロールの3.1は、ネットワーク上のすべてのシステムに対し、毎週またはそれよりも高い頻度で自動化された脆弱性スキャンツールを実行し、組織のシステム上のすべての潜在的な脆弱性を特定することを推奨しています(CISコントロールのバージョン7の詳細については、こちらをご覧ください)。

最近のデータ漏洩インシデントを見ると、最上級の脆弱性管理戦略をたてておくことがいかに重要であるかを再認識させられます。

たとえば、libsshには、サーバーコードに認証バイパスが可能になる脆弱性(CVE-2018-10933)が存在していました。実質的には、この脆弱性により、リモートの攻撃者は、クレデンシャルなしで認証されてしまいます。この脆弱性は、2014年にリリースされたバージョン0.6にはすでに存在し、2018年10月16日のフィックス0.8.4および0.7.6でやっと修正されました。

このバグは、NCC GroupのPeter Winter-Smith氏(@peterwintrsmith)によって発見されました。Tripwire IP360はこの脆弱性をリモートから検出できます。また、Tripwire VERTは、10月にこの脆弱性をパッチプライオリティインデックスのトップに据えています。

脆弱性管理ツールをさらに活用するための3つのアイデアを以下に示します。

1.システムオーナー向けに、彼らが管理する資産の脆弱性スコアをベースにしたインセンティブプランを作成する。

人はアメ(ご褒美)があるとやる気が出るものです。従業員に喜んで仕事をしてもらうには、賞を与えるのが一番よいのです。それに、同僚同士のちょっとした競争は効果的です。システムの所有者にレメディエーションタスクを割り当てて、問題修正の進捗を追跡する際には、ツールのワークフローを使用するようにしてください。

2.脆弱性管理ツールに働かせる。

多くの企業は、脆弱性ツールを過剰に管理しようとして、「水曜日の夜にApacheを実行しているUnixサーバーのみをスキャンしたい」というようなシナリオを何百通りも作成しています。これでは、スキャンスケジュールが非常に複雑になってしまいます。

その結果、環境全体のスキャンができているのかわからなくなるばかりか、必要以上に多くのスキャンスケジュールを管理する羽目になります。スキャンツールでサブネットごとにスキャンを行うようにしましょう。あなたが必要だと思う頻度で必要なすべてを取得し、結果に基づいてツールにレポートを生成させることをお勧めします。あなたが、あまりクリエイティブに工夫を凝らさないようにして、ツールをクリエイティブに働かせましょう。

3.パッチ管理と脆弱性管理はイコールではないことを忘れない。

パッチ管理ツールが、「あなたのシステムには完璧にパッチが適用されている」と言っても、本当に安全であると錯覚しないようにしましょう。時折、1件の誤検出レポートから、パッチ管理ツールが見逃した大量の脆弱性に関する議論が勃発することがあります。

あるアプリケーションの複数のバージョンがインストールされているのに、ツールが最後のインストールしか報告していない場合にこのようなことがよく起きます。あなたが管理するシステムには、いくつのJavaのバージョンがインストールされているか確認してみてください。また、パッチの適用に追加のステップが必要となる場合にもこのようなことがよく起きます。パッチ管理ツールは、通常パッチがインストールされているかを確認します。しかし、インストール後の設定が行われたかまでは確認してくれません。

結局のところ、目的は環境をより安全にすることです。そして、あと少しクリエイティブであれば、一般的なミスの先を見通して、御社の脆弱性管理ツールをフル活用できることもあるでしょう。Tripwire IP360の詳細を知るには、こちらをクリックしてください。

TRIPWIRE IP360 データシート

RECOMMEND関連記事


RECENT POST「脆弱性管理」の最新記事


この記事が気に入ったらいいねしよう!